СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег. № П – 1437/2016 г.
гр. София, 05.08.2016 г.
ОТНОСНО: Искане с вх.№П- 1437 от 29.02.2016 год. от д-р Веселин Божков– Председател на Комисията за регулиране на съобщенията по въпроси, касаещи формирането на номерата на договори за електронни съобщителни услуги.
Комисията за защита на личните данни (КЗЛД) в състав: Председател Венцислав Караджов и членове: Мария Матева и Веселин Целков на заседание, проведено на 27.07.2016г., разгледа преписка по искане с вх.№П- 1437 от 29.02.2016г.от д-р Веселин Божков, в качеството си на председател на Комисията за регулиране на съобщенията (КРС), който поставя въпрос относно констатация от страна на КРС, че при формиране на номерата на договори за електронни съобщителни услуги, сключвани между „Българска телекомуникационна компания“ ЕАД (БТК) и абонати– физически лица, номерът на договора започва с изписване в цялост на единния граждански номер на абоната.
Г-н Божков е приложил към искането си извадка от договор, сключен между БТК и абонат.
По повод поставените в искането въпроси от КРС, както и необходимостта от преценка на всички факти и обстоятелства, относими към изложения казус, бе изискана допълнителна информация по темата от „БТК“ ЕАД.
С писмо с вх.№С-322/27.04.2016г.от дружеството бе предоставено следното становище по поставените въпроси:
Съгласно разпоредбите на чл.248 ал.1 от ЗЕС предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, включително мрежи, поддържащи устройства за събиране на данни и идентификация, могат да обработват данни на потребителите, когато те са непосредствено предназначени за предоставяне на електронни съобщителни услуги. В алинея 2 на същия член е разписано, че данните на потребителите включват също така данни за абоната: за физически лица- трите имена, единен граждански номер и адрес.
БТК събира информация за единния граждански номер на потребителите си за целите на сключване на индивидуални потребителски договори за предоставяне на телекомуникационни услуги на законово основание. Единният граждански номер е задължителен реквизит на всеки индивидуален потребителски договор за предоставяне на телекомуникационни услуги и неминуемо следва да присъства на стр. 1 в поле „данни за абоната/потребителя".
Вътрешна политика на дружеството е единният граждански номер да присъства и в уникалния идентификационен номер на всеки договор/допълнително споразумение. Причините са това са следните:
1. „Именуването" на договора/допълнителното споразумение със зададен уникален номер е изцяло предмет на вътрешна организация и има за цел да облекчи работата на предприятието при подреждането и архивирането на документите. Понеже по съществото си единният граждански номер е число, уникално за всеки български гражданин, и като такова е сред данните, с които по безспорен начин може да се идентифицира едно лице, то не е налице друг параметър, който така категорично да послужи за целите на уникалността на номера на договора. Тази уникалност е гаранция за защитата на документооборота и за стриктното подреждане/архивиране/проследяване на документите както в електронната база, така и в „хартиения" архив. Колкото по-уникален е номерът на документа, толкова по-гарантирано е неговото подреждане/архивиране/проследяване. Именно за гарантиране на уникалността на номера на документа, единният граждански номер е „вграден" в този на договора/споразумението.
2. Специалният за операторите закон ЗЕС няма изрични ограничения за това дали и как да бъдат номерирани индивидуалните договори/споразумения на клиентите и в тази връзка не считат, че е налице злоупотреба (вкл. незаконосъобразно разкриване) с единния граждански номер;
3. Единният граждански номер задължително присъства с поле „данни на абоната/потребителя" на стр. 1 на документа, което е точно няколко полета под това с номера на договора. Следователно индивидуалният номер на договора/споразумението съдържа информация, която нормално и закономерно вече е посочена по-долу в същия документ.
След анализ на полученото становище към дружеството бе отправено допълнително искане за информация по нововъзникнали въпроси, а именно:
1. Как се съхраняват договорите и кой има достъп до съдържанието на договорите, както и до номерата на същите?
2. Лицата (служители на БТК и трети лица), обработващи данните, съдържащи се в договорите, имат ли достъп освен до номера на договора и до съдържанието на договора?
3. В каквидокументи се вписва номерът на договора, извън самия договор и в какви случаи се използва само номерът на договора?
В отговор на поставените въпроси, с писмо с вх.№П-4496/14.06.2016г., БТК ЕАД предостави следната информация:
По първия въпрос– как се съхраняват договорите, както и кой има достъп до съдържанието на договорите и до номерата на същите:
Достъп до договорите имат лицата, работещи със системата Customers Relationship Management System и системата Siebel- системите на компанията, които общо „изграждат" клиентската база данни или регистър „Клиенти". Договорите, подписани електронно, се качват в тази база данни автоматично, а подписаните на хартия договори се сканират ръчно и допълнително се прикачат под клиентския номер на потребителя.
Достъп до клиентската база данни имат: „Продажби на дребно" и „Обслужване на клиенти". В допълнение, магазините (част от „Продажби на дребно) виждат договорите, сключени в техния обект за период от 1 год. назад., ако договорът не е прекратен. Достъп до договорите имат също отдел „Превенция на измами" и „Правна дирекция".
По втория въпрос– дали лицата (служители на БТК и трети лица), обработващи данните, съдържащи се в договорите, имат достъп освен до номера на договора и до съдържанието на договора:
Служителите с достъп до договора виждат не само номера му, но и съдържанието му. Това е част о трудовите им задължения по обработка на заявки, справки, проверки на административни органи, отчети и т.н.
По третия въпрос– в какви документи се вписва номерът на договора, извън самия договор и в какви случаи се използва само номерът на договора:
Единственият случай на изписване на номера на договора извън самия договор е в хипотезата на сключен договора за лизинг към определен индивидуален клиентски договор за електронна съобщителна услуга. Договорът за лизинг обаче също е със задължителен реквизит единния граждански номер.
Няма случаи, в които да се обработва само номера на договора, отделно исамостоятелно.
Правен анализ:
С чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД) е въведено легалното определение на понятието лични данни, съгласно което това е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Безспорно е, че единният граждански номер попада в обхвата на посочената дефиниция.
Законът за електронните съобщения (ЗЕС) е специалният закон, който урежда обществените отношения, свързани с осъществяване на електронни съобщения. Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, включително мрежи, поддържащи устройства за събиране на данни и идентификация, могат да обработват данни на потребителите, когато те са непосредствено предназначени за предоставяне на електронни съобщителни услуги.
Данни, необходими за изготвяне на абонатните сметки, както и за доказване на тяхната достоверност, включващи следната информация за абоната: за физически лица- трите имена, единен граждански номер и адрес, а за чуждестранни лица- личен номер, са изброени изчерпателно в чл.248, ал.2, т.2, буква „а“ от ЗЕС. Съгласно разпоредбите на чл.249, ал.1 от ЗЕС предприятията, предоставящи обществени електронни съобщителни услуги, не могат да изискват от потребител повече данни от тези по чл.248, ал.2, т.2, буква "а" за предоставяне на услугите. Данните за единния граждански номер на крайните потребители могат да се използват само с цел събиране на задължения по съдебен ред, като могат да се обработват и когато физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие. Предприятията, предоставящи обществени електронни съобщителни услуги, не могат да поставят условия за предоставяне на услугите си в зависимост от съгласието на потребителя данните му да бъдат използвани за други цели.
Основните принципи, на които трябва да се основава правомерното обработване на лични данни на физически лица от страна на администраторите на лични данни са посочени в ЗЗЛД. Тези принципи са законосъобразност, пропорционалност, целесъобразност и точност. Съгласно чл.2, ал.2 от ЗЗЛД личните данни трябва да се обработватзаконосъобразно и добросъвестно; да се събиратза конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели; да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват; да бъдат точни и при необходимост да се актуализират.
За да е налице законосъобразност на обработването, е необходимо наличието поне на едно от посочените условия за допустимост на обработването на лични данни, съгласно алтернативните предпоставки, посочени в чл.4, ал.1 от ЗЗЛД. В конкретния случай би могло да се приеме, че е налице хипотезата на чл.4, ал.1, т.3, а именно обработването на лични данни е допустимо, когато е необходимо за изпълнение на задължение по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.
Цялостното изписване и включване на единния граждански номер при формиране номерата на договорите за електронните съобщителни услуги, сключвани между „БТК“ ЕАД и абонати физически лица, противоречи на принципите за обработка на лични данни, отразени в разпоредбите на чл.2, ал.2, т.3, а именно обработването трябва да е пропорционално и съотносимо, а също така да не надхвърля целите, за които личните данни се обработват. Генерирането на номер на договора следва да се извърши по различен начин, който не включва цялостното изписване на единния граждански номер на физическото лице– абонат. Включването на единния граждански номер като част от номерацията на договорите създава предпоставки за злоупотреба с лични данни, включително за търсене на отговорност от администратора за нарушение на чл.23 от ЗЗЛД, именно недостатъчно организационни и технически мерки, които позволяват разкриване на лични данни на физическите лица.
Задължение на администраторите на лични данни е да предприемат подходящи технически и организационни мерки за защита на данните от неправомерен достъп и от други незаконни форми на обработване, в това число незаконосъобразно разпространение.
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Изписването на единия граждански номер при формиране номерата на договорите за електронните съобщителни услуги, сключвани между „БТК“ ЕАД и абонати- физически лица, противоречи на принципите за обработка на лични данни, отразени в разпоредбите на чл.2, ал.2, т.3, а именно обработването да е пропорционално и съотносимои да не надхвърля целите, за които се обработват личните данни. Генерирането на номер на договора следва да се извърши по начин, който изключва възможността за неправомерен достъп и незаконосъобразно разпространение на единния граждански номер на физическото лице- абонат.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Мария Матева /п/ |
