Становище относно искане с рег.№ 2576/07.06.2011г. за изразяване на становище относно приложението Закона за защита на личните данни във връзка с чл.113, ал.1 от Изборния кодекс

№ 2576/2011г.

Гр. София, 30.06.2011г.

ОТНОСНО: Искане с рег.№ 2576/07.06.2011г. от независимия кандидат за президент на Република България при избори за президент и вицепрезидент 2011 г. – г-жа М.Щ.К. за изразяване на становище от Комисията за защита на личните данни на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД),относно приложението Закона за защита на личните данни във връзка с чл.113, ал.1 от Изборния кодекс

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Валентин Енев, Мария Матева и Веселин Целков, на редовни заседания, проведени на 15.06.2011г. (Протокол № 25) и 22.06.2011 год. (Протокол № 26),разгледа искане с рег.№ 2576/07.06.2011г. от независимия кандидат за президент на Република България при избори за президент и вицепрезидент 2011г. – г-жа М.Щ.К. за изразяване на становище от Комисията за защита наличните данни на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД),относно приложението Закона за защита на личните данни във връзка с чл.113, ал.1 от Изборния кодекс.

Във връзка с провеждането на предстоящите избори за президент и вицепрезидент на Република България през 2011г., г-жа М.К. е издигната като кандидат за президент от инициативен комитет на избирателите на основание чл. 98, ал.1 от Изборния кодекс. Във връзка с разпоредбата на чл.113, ал.1 от Изборния кодекс, съгласно която членът на инициативния комитет по чл.112, ал.2, т. 2 от Изборния кодекс обработва и предоставя лични данни при спазване изискванията на Закона за защита на личните данни и носи отговорност като администратор по смисъла на чл.3, ал.2 от Закона за защита на личните данни, КЗЛД е сезирана, относно приложението и изискванията на Закона за защита на личните данни (ЗЗЛД) в конкретния случай. В искането до КЗЛД са поставени следните въпроси за изразяване на становище по чл.10, ал.1, т.4 от ЗЗЛД :1. Следва ли всеки член на инициативен комитет по чл.112, ал.2, т.2 от Изборния кодекс, който обработва лични данни и носи отговорност като администратор по смисъла на чл.3, ал.2 от ЗЗЛД да бъде регистриран поотделно; 2. В случай, че по т.1 следва да се осъществи регистрация, какъв е редът за регистрацията и какви данни/документи трябва да представи лицето – администратор за целите на регистрацията; 3. Необходимо ли е наименованието на всеки конкретен регистър да съдържа името на конкретните кандидати за президент и вицепрезидент; 4. Могат ли след приключване на изборите съответните членове на инициативния комитет да заличат незабавно своята регистрация; 5. В какъв срок след приключване на изборите трябва да се съхраняват личните данни; 6. Следва ли инициативният комитет по чл.112, ал.2, т.2 от Изборния кодекс да се регистрира самостоятелно като администратор на лични данни по смисъла на ЗЗЛД; 7. По какъв точно ред следва да се осъществи регистрацията и какви точно данни/документи трябва да бъдат представени пред КЗЛД; 8. В случай, че в хода на изборите бъдат установени/извършени нарушения/или бъдат допуснати грешки във връзка с поставените въпроси, какъв е редът за тяхното отстраняване.

Съгласно чл.76, ал.4 от Изборния кодекс, инициативните комитети за издигане на независими кандидати могат да се създават и участват във всеки отделен вид избори. С оглед конкретния казус, при избори за президент и вицепрезидент на Република България, в изборите участват инициативните комитети, регистрирани в Централната избирателна комисия (чл.96, т.1 от Изборния кодекс). Създаването, представителството и редът за регистриране на инициативните комитети за издигане на кандидати за президент и вицепрезидент на Република България са регламентирани в чл.97, ал.2 – ал.12 от Изборния кодекс. В тази връзка, инициативният комитет се създава с не по-малко от 21 избиратели с постоянен адрес на територията на страната. Всеки избирател може да участва в един инициативен комитет. Членовете на инициативния комитет определят с решение лицето, което да го представлява. инициативният комитет представя в Централната избирателна комисия (ЦИК) заявление за регистрация по чл.97, ал.7 от Изборния кодекс, подписано от всички членове на инициативния комитет, не по-късно от 60 дни преди изборния ден при избори за президент и вицепрезидент на Република България. Към заявлението се прилагат нормативно регламентираните документи в чл.97, ал.8 от Изборния кодекс, които се проверяват от ЦИК преди извършване на регистрация/на отказ от регистрация. Във връзка със своите правомощия, ЦИК води регистри на инициативните комитети при избори за президент и вицепрезидент съгласно разпоредбата на чл.26, ал.1, т.9 от Изборния кодекс. Съгласно изложеното в искането, инициативният комитет на избирателите за издигане на г-жа Меглена Кунева за независим кандидат за президентна Република България при избори за президент и вицепрезидент 2011г. е в процедура на подготовка по задължителната регистрация в ЦИК.

· Относно определянето на администратора на лични данни и обработването на лични данни във връзка с издигането на кандидатурата:

На основание чл.112, ал.1 и ал.2 от Изборния кодекс, кандидатите за президент и вицепрезидент на Република България могат да бъдат предложени за регистриране само от един инициативен комитет на избирателите. Регистрацията се осъществява от ЦИК с обща кандидатска листа след представяне на предложение от инициативния комитет с имената, единния граждански номер и постоянния адрес на кандидатите; предложението се подписва от представляващото инициативния комитет лице; към предложението на инициативния комитет се прилага банков документ за внесен депозит и списък с имената, единните граждански номера и подписите най-малко на 7000 избиратели, подкрепящи издигането на кандидатите, положени пред член на инициативния комитет, като всеки избирател може да участва само в една подписка. Във връзка с това, на основание чл.113, ал.1 от Изборния кодекс, членът на Инициативния комитет по чл.112, ал.2, т.2 обработва и предоставя лични данни при спазване изискванията на Закона за защита на личните данни и носи отговорност като администратор по смисъла на чл.3, ал.2 от Закона за защита на личните данни. По смисъла на чл.3 от Закона за защита на личните данни администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на данните, както и който обработва лични данни, видът, на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени. В конкретния казус инициативният комитет в неговата цялост, а не неговите членове, се явява администратор на лични данни, чиито вид, цели и средства за обработване се определят със закон (в Изборния кодекс). Препратката в чл. 113, ал.1 от Изборния кодекс към ЗЗЛД е по своята правна същност фикция, посредством която членовете на инициативния комитет се приравняват на администратори на лични данни по отношение носенето на отговорност по ЗЗЛД.

Обработването на личните данни съгласно дефиницията, дадена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личнитее всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Действията по събиране, записване и съхраняване на лични данни на граждани, участващи в подписка за издигане на кандидати за президент и вицепрезидент, съставляват обработване на лични данни съгласно горепосочената дефиниция.

От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД,"специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето. Обемът данни, които ще бъдат обработвани по чл.113, ал.1 от Изборния кодекс, включва две основни групи:

1. Имената, единния граждански номер и постоянния адрес на кандидатите на президент и вицепрезидент на Република България при избори за президент и вицепрезидент 2011г, както и данни на членовете на инициативния комитет.

2. Имената, единните граждански номера и подписите най-малко на 7000 избиратели, подкрепящи издигането на кандидатите за президент и вицепрезидент на Република България.

Горепосочените две групи данни са в обем, достатъчен, за да идентифицира съответните физически лица, поради което те се явяват „лични данни” съгласно законовата дефиниция в ЗЗЛД и попадат под режима на защитата на личните данни.

Съгласно чл.4 от Закона за защита на личните данни, обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Предвид гореизложеното, за инициативния комитет на избирателите за издигане независимия кандидат за президент на Република България – г-жа М.Щ.К. при избори за президент и вицепрезидент 2011г. е налице нормативно установено задължение за обработване на лични данни на основание чл.113, ал.1 от Изборния кодекс във връзка с чл.4, ал.1, т.1 от Закона за защита на личните данни.

· Относно освобождаването на инициативните комитети от задължение за регистрация като администратори на лични данни:

По принцип, съгласно чл.17, ал.1 от Закона за защита на личните данни, всеки администратор на лични данни е длъжен да подаде заявление за регистрация в Регистъра на администраторите на лични данни и поддържаните от тях регистри при КЗЛД преди започване обработването на лични данни. Заявлението за регистрация съдържа следната информация: 1.Данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв; 2. Целите на обработване на личните данни; 3. Категориите физически лица, чиито данни се обработват, и категориите данни, отнасящи се до тях; 4. Получателите или категориите получатели, на които личните данни могат да бъдат разкрити; 5. Предлаганото предоставяне на данни в други държави; 6. Общото описание на мерките, предприети съгласно чл.23 от ЗЗЛД, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

Администраторът може да започне обработване на данните след подаване на заявлението за регистрация, освен когато е декларирал обработване на т.нар. данни под особен режим (чл.5, ал.1), в който случай Комисията за защита на личните данни задължително извършва предварителна проверка преди вписване в регистъра по чл.10, ал.1, т.2 от ЗЗЛД. В тази хипотеза, администраторът не може да започне обработването на данните, преди да е вписан в регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД или преди да изпълни задължителните предписания на комисията.

Законът за защита на личните данни дава възможност на КЗЛД да освободи, по нейна преценка, от задължение от регистрация администратори, когато обработването на данни от тях не застрашава правата и законните интереси на физическите лица, чиито данни се обработват. Следва да се има предвид, че инициативните комитети събират и обработват лични данни на граждани, в изпълнение на изискванията на закона, за точно определен период от време в рамките на срока по чл. 97, ал. 5 от Изборния кодекс. С оглед на това, че обработването на данните се осъществява за срок не по-дълъг от шест месеца, като отчете доброволния характер на участие на граждани в подписки и взе предвид факта, че целите и средствата за обработване на лични данни от инициативните комитети са нормативно определени,Комисията за защита на личните данни, на свое заседание на 22.06.2011г., взе решение за освобождаване от регистрация като администратори на лични данни на инициативните комитети по чл.96 от Изборния кодекс.

Следва да се има предвид, че освобождаването от регистрация не изключва изпълнението на всички други задължения на администратора на лични данни, произтичащи от ЗЗЛД и от контрола на Комисията за защита на личните данни.

· Относно задълженията на администратора на лични данни, вкл. задължението за определяне на регистри с лични данни:

В Закона за защита на личните данни са регламентирани принципите, които следва да спазват при обработване на данните и задълженията на администраторите на лични данни. Всеки администратор е длъжен да обработва личните данни законосъобразно, при спазване разпоредбите на ЗЗЛД, а именно:

– да ги обработва законосъобразно и добросъвестно;

– да ги събира за конкретни, точно определени и законни цели и да не ги обработва допълнително по начин, несъвместим с тези цели;

– да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

-да бъдат точни и при необходимост да се актуализират;

-да се заличават и коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

– да ги поддържа във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.

Законът за защита на личните данни въвежда в задължение на администратора на лични данни (регистриран в КЗЛД или освободен от регистрация) да предприема технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение и разпространение, както и от други незаконни форми на обработване. Съгласно чл. 23, ал.4 от ЗЗЛД и чл. 3, ал. 3 отНаредба № 1 от 7 февруари 2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни лицата, мерките и средствата за защита на лични данни се определят с инструкция на администратора на лични данни. В този документ администраторът на лични данни е длъжен да регламентира конкретните мерки и средства за защита на лични данни, които той предприема съобразно установените минимални изисквания в Наредба № 1. Именно в инструкцията всеки администратор на лични данни (независимо дали е вписан в Регистъра на администраторите на лични данни и на водените от тях регистри при КЗЛД или е освободен от задължение за регистрация), в зависимост от дейността си и вида на данните – предмет на обработване, следва да разпише толкова регистри с лични данни, колкото обработва. Наименованието, съдържанието и начинът на обработване на поддържаните регистри се определят от самия администратор на лични данни. При дефинирането на броя и наименованието на регистрите следва да сеима предвид дефиницията, дадена в §1, т.2 от ЗЗЛД за "Регистър на лични данни". Това е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип. Броят на регистритесе определя съобразно обработвания обем от данни и целите на обработването.

Съгласно чл.25 от ЗЗЛД, след постигане целта на обработване на личните данни, администраторът е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването. Следпостигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи. В тази връзка, целите на обработването и сроковете за съхраняване на личните данни в изложения казус се подчинява на целите и сроковете, определени в Изборния кодекс. На практика с представянето на Централната избирателна комисия (ЦИК) на списъка с имената, единните граждански номера и подписите най-малко на 7000 избиратели, подкрепящи издигането на кандидатите, което е задължителен елемент от регистрацията на кандидатите за президент и вицепрезидент съгласно чл.112 от Изборния кодекс, отпада необходимостта и правното основание за обработване на събраните лични данни от администратора на лични данни (инициативния комитет). С представянето на списъка на ЦИК той ги прехвърля на друг администратор на лични данни в изпълнение на свое нормативно установено задължение.

Що се отнася до евентуални нарушения в хода на изпълнение на законовите изисквания, следва да се има предвид, че в правомощията на КЗЛД е извършването на проверки на администраторите на лични данни, издаването на задължителни предписания и налагането на временна забрана за обработване на лични данни. Администраторът има задължение да уведомява КЗЛД за всяка промяна на данните, заявени от него при регистрацията му, преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон. Отделните състави на административни нарушения са разписани в глава Осма на ЗЗЛД.

Във връзка с горното и на основание чл. 10, ал.1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

1. На основание чл. 113, ал.1 във връзка с чл.112, ал.2, т.2 от Изборния кодекс и чл.3, ал.2 от Закона за защита на личните данни, администратор на лични данни се явява самият инициативен комитет на избирателите за издигане на г-жа М.К. за независим кандидат за президентна Република България при избори за президент и вицепрезидент 2011г. , а не неговите членове. Всекичлен на инициативен комитет е приравнен на администратор на лични даннипо отношение носенето на отговорност по ЗЗЛД.

2. На основание чл.17а, ал.2 от Закона за защита на личните данни със свое решение от редовно заседание на 22.06.2011г. (Протокол № 26) Комисията за защита на личните данни освободиот задължение за регистрация всички инициативни комитети по чл. 96 от Изборния кодекс, вкл. администратора по т.1. Освобождаването от регистрация обаче не изключва изпълнението на всички други задължения на администратора на лични данни, произтичащи от ЗЗЛД и от контрола на Комисията за защита на личните данни.

3. След постигане целта на обработване на личните данни(събирането на лични данни във връзка с подписка за издигане на кандидати за президент и вицепрезидент от инициативен комитет в хода на изборния процес)администраторът на лични данни е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.Администраторът може да съхранява данните и след постигане на тази цел, само ако това е предвидено в закон. В конкретния случай, след представянето в Централната избирателна комисия (ЦИК) на списъка с имената, единните граждански номера и подписите най-малко на 7000 избиратели, подкрепящи издигането на кандидатите, което е задължителен елемент от регистрацията на кандидатите за президент и вицепрезидент съгласно чл.112 от Изборния кодекс,отпада правното основание за обработване и съхраняване на събраните лични данни от страна на администратора по т.1.

4. При установяване на нарушения или на допуснати грешки в хода на изборите, и при осъществяване на своята контролна дейност, Комисията за защита на личните данни има правомощия да издаде задължителни предписания във връзка със защитата на личните данни, да наложи временна забрана за обработването на данни (след предварителноуведомяване на съответния администратор на лични данни), или да наложи административни наказания по глава осма от ЗЗЛД.