СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-715/2016
гр. София, 05.04.2016 г.
ОТНОСНО: Искане за становище с вх.№П-715 от 02.02.2016г. от „О.Т.“ ООД, във връзка с одобрение на идеен проект за създаване на общ електронен регистър за недействителни поръчки.
Комисията за защита на личните данни (КЗЛД) в състав – Председател: Венцислав Караджов и Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на заседание, проведено на 30.03.2016г., разгледа искане с вх.№П-715/02.02.2016г. от „О.Т.“ ООД, във връзка с одобрение на идеен проект за създаване на общ електронен регистър за недействителни поръчки.
„О.Т.“ ООД, с ЕИК *****, със седалище и адрес на управление *****, регистриран като администратор на лични данни с идентификационен №365660, е дружество, което търгува чрез няколко уебсайта за онлайн пазаруване. Заявителят обмисля да създаде общ електронен регистър (база данни) за недействителни онлайн поръчки, който да се ползва от всички желаещи онлайн търговци. Има намерения в него да се събират данни за лица по поръчки, които се оказват фалшиви или неизпълними. Доводи за създаването са: вреди под формата на финансови загуби, които онлайн търговците получават от такива поръчки.
Дружеството заявява, че достъп и право на въвеждане на данни в регистъра ще имат само и единствено юридически лица, които притежават уебсайтове за онлайн пазаруване и са представили доказателство за регистрация като администратор на лични данни, а право на заличаване от него ще имат създателите и администраторите на „О.Т.“ ООД, ако бъде изискано от тях по законен ред.
Възнамерява се събирането на следните данни:
– Еmail адрес;
– Телефонен номер;
– IP адрес.
Заявителят уточнява, че след въвеждането на данните в регистъра, те няма да имат връзка едни с други, т.е. нито един от трите основни записа по една недействителна поръчка ще бъдат записвани така, че никой да не може да ги свърже един с друг.
„О.Т.“ ООД моли за одобрение на проекта за създаване на общ електронен регистър на недействителни онлайн поръчки.
Правен анализ:
В чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД) е въведена легална дефиниция на понятието лични данни, съгласно което това е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци“. Определението на понятието не посочва изчерпателни списъци от категориите данни, а задава критериите – чрез съвкупността от данни в конкретен случай, лицето може да се идентифицира пряко или да стане по непряк начин идентифицируемо. Поради това КЗЛД разглежда винаги случай по случай поставените казуси. В конкретната хипотеза, чрез събиране на email адрес, телефонен номер и IP адрес, лицето, за което се отнасят данните може да бъде идентифицирано.
Независимо какъв е разглежданият казус, водещ елемент от неговия анализ е законовото правило, че при обработването на лични данни следва да се спазват определените в чл.2, ал.2 от ЗЗЛД принципи, а именно личните данни:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон;
3. бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
В случая, създаването на такъв регистър се явява допълнително обработване на лични данни, събрани от администратор, онлайн търговец, с цел осъществяване на покупко-продажба от разстояние. Последващата цел на обработването е явно несъвместима с първоначалната такава. По този начин, това противоречи на принципа, който е посочен в чл.2, ал.2, т.2 от ЗЗЛД.
За избягване на горното противоречие, е необходимо основание за законосъобразно обработване на лични данни. Същите са изчерпателно и алтернативно изброени в чл.4, ал.1 от ЗЗЛД:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
В конкретната хипотеза обработването на може да се подведе под никоя от посочените в закона хипотези и липсва каквото и да е основание за него. С оглед на горното, същото се явява незаконосъобразно.
При създаването на такъв регистър, администраторите на лични данни, участници в него, ще проверяват въведените в него данни, с цел неосъществяване на определена поръчка, при наличие на предишни неуспешни поръчки, довели до въвеждането на данните на лицето в този регистър. Горното е увреждащо интересите на физическите лица. Същото би било изключително несправедливо, при условие, че данните в него не са въведени на някое от основанията, които са посочени в представения проект и липсва вина у физическото лице за изпълнението на предишна поръчка.
На основание чл.34б, ал.1, от ЗЗЛД, създаването на подобен регистър се явява противоречащо на изискванията на закона, а именно:
Чл. 34б. (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
В конкретната хипотеза са налице и двете кумулативно дадени предпоставки, а именно:
– „правни или други съществени последици на физическото лице“. Налице е именно такава хипотеза – интересите на физическите лица са накърнени, поради присъствието на техните данни в подобен регистър, без да са представени каквито и да е доказателства за същото.
– „е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическо лице“. Проверката в подобен регистър предполага автоматизирано обработване, т.е. би отсъствала всякаква човешка преценка относно присъствието на данните в регистъра. Чрез такава преценка се оценяват лични аспекти на физическите лица, а именно тяхната надеждност, добросъвестно поведение, отговорност, изпълнимост и др.
С оглед на горното, при наличието и на двете предпоставки от чл.34б, ал.1 от ЗЗЛД, решението на администратора е недопустимо.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД, Комисията за защита на лични данни да изразява следното
СТАНОВИЩЕ:
Създаването на общ регистър (база данни) от физически лица за недействителни онлайн поръчки противоречи на ЗЗЛД и като цяло на принципите за защита на личните данни.
Събирането на лични данни за целите на регистъра се явява допълнително обработване, което е забранено, съгласно принципа, разписан в чл.2, ал.2, т.2 от ЗЗЛД.
За поместването на такива данни в нарочен регистър липсва нормативно основание. Подобно обработване не може да бъде отнесено към никое от изчерпателно изброените условия за допустимост на обработването, съгласно чл.4, ал.1 от ЗЗЛД.
Структурирането на подобен регистър е незаконосъобразно и на основание чл.34б, ал.1, от ЗЗЛД. В конкретната хипотеза са налице и двете кумулативно (едновременно) дадени предпоставки, които да провокират недопустимостта на решението, а именно:
– решението на администратора, в случая онлайн търговеца, може да повлияе негативно на правната или друга сфера на лицата, което е недопустимо;
– решението е взето единствено на базата на автоматизирано обработване, чрез което се оценяват лични характеристики на физическото лице. При наличието на данни на физическо лице в регистъра, това би довело до преценка относно неговата надеждност, коректност, в резултат на което администраторът ще вземе решение, с което се засягат интересите на лицето
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
