РЕШЕНИЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Рег. № НДМСПО-01-652/2018 г.
София, 05.07.2018г.
ОТНОСНО: Приемане и публикуване на практически насоки относно съгласието като основание за обработване на лични данни
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 02.07.2018 г., разгледа преписка с вх. № НДМСПО-01-652/20.06.2018 г. от заместник министър-председателя на Република България г-н Томислав Дончев. В неговото писмо се обръща внимание на факта, че във връзка със започналото от 25 май 2018 г. приложение на новия Общ регламент относно защитата на личните данни (Регламент (ЕС) 2016/679) се наблюдава масово изискване от държавната и общинска администрация за предоставяне на изрично писмено съгласие от заявителите на дадена административна услуга. Това обстоятелство усложнява административните процедури и увеличава административната тежест за гражданите и бизнеса.
В тази връзка г-н Дончев посочва, че в публикуваните на официалната страница на КЗЛД информационно-разяснителни материали въпросът за случаите, в които е необходимо (респ. не е необходимо) да се изисква съгласие, не е изяснен.
В допълнение към писмото на заместник министър-председателя на Република България, в КЗЛД са постъпилите и множество запитвания и сигнали от граждани и медии за наличие на масова практика да се изисква подписване на декларации за съгласие при обработване на лични данни, за което са налице друго правно основание по смисъла на Регламент (ЕС) 2016/679, като например законово задължение, упражняване на официални правомощия, договор и др.
Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място в чл. 6 и чл. 9 от Регламент (ЕС) 2016/679, важно е да се знае, че всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.
Във връзка с горното и на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, Комисията за защита на лични данни прие следното
РЕШЕНИЕ:
1. Приема практически насоки в кои случаи не се изисква съгласие за обработване на лични данни в съответствие с Регламент (ЕС) 2016/679.
2. Насоките по т. 1 да бъдат публикувани на официалната интернет страница на КЗЛД.
Гласували петима членове на КЗЛД: Венцислав Караджов, Цанко Цолов, Цветелин Софрониев, Веселин Целков – „За", Мария Матева – „Против".
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ | Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ | ||
| O.M. Мария Матева /п/ | ||
| Веселин Целков /п/ |
В КОИ СЛУЧАИ НЕ СЕ ИЗИСКВА СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR):
a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.
Някои от най-често срещаните ситуации, при които администраторът не следва да иска съгласие от лицето за обработване на личните му данни, са следните:
1. Администратор – публичен или частен, събира определен обем лични данни в изпълнение на свое задължение по силата на закон, напр. по силата на Закона за здравето, Закона за счетоводството, Закона за административните нарушения и наказания, Кодекса на труда, Кодекса за социалното осигуряване, Закона за Министерството на вътрешните работи, Закона за гражданската регистрация, Закона за туризма, Закона за предучилищното и училищното образование и т.н.
В тези хипотези законодателят не е оставил свобода на преценка на администратора или на субекта на данните, в резултат на което евентуалното съгласие на лицето няма да е свободно дадено, съответно няма да е валидно. Това важи особено за публичните администратори, както и за секторите, в които е налице детайлна законова регламентация, като например здравеопазване, образование, банкова дейност и др.
2. Личните данни се събират във връзка с предоставянето на различни административни услуги от държавни органи или органи на местното самоуправление.
В тези случаи правното основание е изпълнение на задача от обществен интерес или упражняване на официални правомощия и изискването на съгласие от лицата е ненужно.
3. Личните данни се събират и обработват за целите на трудово правоотношение.
В тези случаи работникът или служителят няма истински свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него, поради очевидната неравнопоставеност между двете страни. В допълнение, взаимоотношенията между субектите на данни и техните работодатели или органи по назначаване, включително и по отношение обработването на лични данни, изчерпателно се уреждат от трудовото законодателство, индивидуалните и/или колективните трудови договори. При тези обстоятелства условието за законосъобразност на обработването на лични данни е законово задължение и/или изпълнението на договор (в зависимост от хипотезата).
4. Личните данни са необходими за сключване и изпълнение на договор, по който субектът на данните е страна.
Доколкото основният предмет и цел на договора обективно не могат да бъдат постигнати без предоставяне на определен обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и съответно не е нужно даване на отделно съгласие за обработване на лични данни.
Това не изключва възможността съгласието да се използва като правно основание за обработване на лична информация (данни за контакт и др.) за допълнителни цели, като например маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. В тези случаи, изискването за получаване на съгласие може да отпадне, ако са изпълнени изискванията, предвидени в съответния нормативен акт. Важно е да се знае, че администраторът няма право да обвърже изпълнението на даден договор, включително предоставянето на дадена услуга, с получаването на съгласие за обработване на лични данни, когато това не е необходимо за изпълнението на договора, като например получаване на рекламни съобщения. В тези случаи съгласието няма да е свободно дадено, тъй като лицето няма истински свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него.
5. Личните данни са необходими за защита на легитимните интереси на администратора или на трета страна, ако тези интереси имат преимущество над интересите и/или основните права и свободи на лицето.
Такива хипотези в практиката са предприемането на мерки за сигурност и охрана, включително чрез видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.
Легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или несъдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди.
6. Личните данни се предават от един администратор на друг в резултат на прехвърляне на вземания (цесия).
В тези случаи правното основание за обработване на личните данние изпълнение на законовото задължение по чл. 99, ал. 3 от Закона за задълженията и договорите. Законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Това обстоятелство обуславя и предаването на личните данни, доколкото същите се съдържат в съответните документи. След получаване на вземането новият кредитор може да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, включително по реда на принудителното изпълнение. При цесията не бива да се забравя задължението на предишния кредитор да съобщи на длъжника за прехвърлянето, което кореспондира и на задължението за прозрачност и предоставяне на информация по смисъла на Общия регламент.
7. Личните данни се предават от администратора на обработващ лични данни.
Общият регламент позволява на администраторите да привличат „обработващ лични данни“ – физическо или юридическо лице, публичен орган, агенция или друга структура, който обработва личните данни от името на администратора. Едни от най-честите хипотези на обработващи лични данни са счетоводните къщи, службите по трудова медицина, колекторските фирми за събиране на вземания, IT компаниите, поддържащи информационните системи на фирми и ведомства и др.
Във всички тези случаи Общият регламент не изисква съгласие на лицата, за които се отнасят данните, за привличането на обработващ лични данни, като преценката е оставена изцяло на администратора.
8. Специфична хипотеза на обработване на лични данни без да се изисква съгласие на субекта на данните е фотографирането и видеозаснемането на лица на публично място. Ако то се извършва от физическо лице в хода на чисто лични занимания, тогава Общият регламент изобщо не се прилага. В случай, че заснемането е част от професионална дейност, тогава биха могли да се приложат изключенията и облекченията за академично, художествено или литературно изразяване по чл. 85 от ОРЗД. Тук следва да се отчита и разпоредбата на чл. 13 от Закона за авторското право и сродните му права, съгласно която фотографът (видеооператорът) не изисква съгласие отизобразеното лице, ако изображението е било направено в хода на обществената дейност на изобразеното лице или на публично или обществено място, изображението на лицето е само детайл в произведение, показващо събрание, шествие или пейзаж или изобразеното лице е получило възнаграждение, за да позира.
9. В случаите, когато се обработват специални категории (чувствителни) лични данни, като например данни за етнически произход, политически възгледи, религиозни убеждения, синдикално членство, биометрични данни, данни за здравословното състояние, сексуална ориентация и др., основанията за законосъобразност са посочени в чл. 9, параграф 2 от ОРЗД.
В тази връзка обработването на данни за здравословното състояние е законосъобразно, ако се извършва за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни и социални грижи, лечение, за управление на системите за здравеопазване или социални грижи, в областта на общественото здраве, за защита срещу сериозни трансгранични заплахи за здравето и др. Следователно, ако обработването е необходимо за някоя от тези цели, съответното болнично заведение, лаборатория или аптека няма нито задължение, нито право да иска допълнително изрично съгласие на лицето (пациента). Обратното би означавало, че болницата ще откаже лечение или аптеката – лекарство, ако лицето не даде своето съгласие. Подобно поведение би представлявало пряко нарушение на Общия регламент, което може да бъде санкционирано с глоба или имуществена санкция.
Примерен неизчерпателен списък на случаи, в които не се изисква съгласие:
В съответствие с посочените критерии, по правило не е необходимо отделно съгласие от лицата, в това число подписването на всякакви форми на декларации, за обработване на личните им данниот изброените по-долу администратори в хода на тяхната обичайна професионална дейност. Това не включва обработването на лични данни за директен маркетинг, където съгласието следва да е водещо основание.
– лекари, зъболекари и фармацевти;
– адвокати;
– работодатели;
– публични органи (държавни и общински);
– учебни заведения (детски градини, училища и висши учебни заведения);
– банки и други кредитни институции;
– застрахователи;
– предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги;
– куриерски фирми и други пощенски оператори;
– предприятия, предоставящи комунални услуги (електроразпределителни дружества, ВиК, топлофикации);
– обработващи лични данни (счетоводители, служби по трудова медицина и др.);
– хотелиери и туристически агенции;
– управителите на етажна собственост (домоуправители);
– копирни услуги;
– преводачи;
– журналисти, фотографи и видеооператори;
– религиозни, политически, обществени и синдикални организации;
– и други.
ОСОБЕНО МНЕНИЕ НА МАРИЯ МАТЕВА
Гласувам против становището на КЗЛД за случаите, в които не е необходимо съгласие на физическите лица, по следните съображения:
1. Считам, че становището е непълно и поради това би могло да въведе в заблуждение както администраторите на лични данни, така и физическите лица, чиито данни се обработват.
Това което имам предвид е, че в становището липсва уточнението, че другите основания за обработване на личните данни на физическите лица, различни от съгласието, обхващат само и единствено операциите по обработване, за които се отнасят. Наличието на такава основания в никакъв случай не дава право на администраторите да обработват личните данни на лицата за цели, различни от тези за които са събрани (като например публикуване на данни в Интернет пространството или разкриване на лични данни на трети лица без наличие на законово основание за това), както и в обем, по-голям от този, за който основанието е налично.
Информация за такова законово основание за обработване на данните трябва да бъде ясно оповестена в Политиките за защита на личните данни на съответния администратор.
2. Становището не е прецизно, тъй като не коментира сроковете, за които личните данни на лицата ще бъдат обработвани. В становището трябва да се посочи, че сроковете за обработване на личните данни на физическите лица на всички цитирани основания, не могат да бъдат по-дълги от сроковете, за които тези основания за обработване съществуват.
3. Становището не е балансирано. То е насочено към администраторите на лични данни и улесняването им в тяхната преценка за основанието за обработване на лични данни. Предвид обстоятелството, че Общият регламент за защита на данните е правен акт за защита на физическите лица при обработване на техните лични данни, становището следва да се адресира и до физическите лица като им се укаже, че независимо, че в цитираните в становището случаи съгласиеза обработване на личните им данни не е необходимо, за субектите на тези данни са налице всички права за защита на данните им, посочени в регламента. Това е необходимо за да може да е ясно за физическите лица, че независимо че не са давали съгласие за обработване на личните им данни на съответния администратор, те имат право да поискат заличаване или унищожаване на данните им след изтичане на срока на основанието за обработване на данните им. Физическите лица трябва да бъдат информирани и за факта, че могат да се защитят от непропорционално и неправомерно обработване на личните им данни и от администратори, които обработват личните им данни без да е било необходимо съгласие за това.
В заключение, това което липсва в документа според мен, може да се обобщи в следния смисъл:
„Използването на легитимен интерес от администраторитеза обработване на лични данни на лицата е относимо само за видовете обработване на лични данни и целите на обработване, за които такъв интерес съществува, както и за сроковете, за които той е налице. Информация за такова законово основание за обработване на данните трябва да бъде ясно оповестена в Политиките за защита на личните данни на съответния администратор. Независимо, че в цитираните в становището случаи не е необходимо съгласие на субектите на данни за обработване на техните личните данни, защитата от неправомерно обработване на данните на физическите лица, предвидена в Регламента, е приложима в пълен обем.”
Липсата на това уточнение според мен води до непълнота и не балансираност на становището.
По изложените причини гласувам против приемането му.
Мария Матева /п/
