СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № п- 8012/2013 г.
гр. София, 13.02.2014г.
ОТНОСНО: Искане с рег.№п-8012/18.12.2013 г. от професор Б.Б. от Факултета по математика и информатика към Софийския университет „Св. Кл. Охридски“, с молба за изразяване на становище от страна на Комисията за защита на личните данни на основание чл.10, ал.1, т.4 от Закона за защита на личните данни
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев и Веселин Целков на заседаниe, проведено на 05.02.2014 г., разгледа искане с рег.№п-8012/18.12.2013 г. от професор Б.Б. от Факултета по математика и информатика към Софийския университет „Св. Кл. Охридски“, обективирано в електронно писмо, с молба за становище на основание чл.10, ал.1, т.4 от Закона за защита на личните данни. В искането за становище е посочено, че професор Б.Б. се обръща към Комисията в качеството си на ръководител на одобрен за финансиране проект по програма FP7, PEOPLE Maria Curie на Европейската Комисия. Сочи се, че проектът е с название ADAPTIMES и предвижда създаване на адаптивна видео игра за подпомагане обучението на студентите в областта на предприемачеството и иновациите, както и практическо тестване и оценяване на тази игра сред студенти от магистърските програми във Факултета по математика и информатика към СУ „Св. Кл. Охридски“. Посочено е, че независимо от тестовете ще се провеждат анонимно и няма да бъдат изисквани чувствителни лични данни, Европейската комисия изисква становище по етичните въпроси относно експериментите на играта от компетентна национална институция („ethical approval for experiments on human volunteers by the competent local national Ethics Committees“). Към искането е приложено и проекто предложение по проекта ADAPTIMES. Сочи се, че допълнително може да бъдат изпратена процедура за провеждане на тестването и форма за информирано съгласие на студентите участници.
В Комисията за защита на личните данни е получено и второ електронно писмо, заведено с регистрационен номер п-8139/30.12.2013 г. от професор Б.Б. В него е посочено, че се прави уточнение, че се иска становище относно защитата на лични данни. Посочено е, че одобрение за спазване на етичните принципи се очаква да бъде издадено от Комисията по защита от дискриминация. Сочи се още, че за изготвяне на такова становище/ одобрение относно защитата на лични данни при експериментите на научния проект ADAPTIMES се изпраща следният документ: „Процедура за обработка на събиранията на данни (Procedure for treatment of data collections“), както и свързаните с него други документи:
– Процедура по набиране на участници ( Procedure for recruitment of participants)
– Процедура за информирано съгласие (Informed consent procedure)
– Формуляр за информирано съгласие (Informed consent form).
В документа „Процедура за обработка на събраните данни“ е посочено, че ADAPTIMES е двугодишен изследователски проект, финансиран от програма „Хора” на Европейската общност. Целта му е да изследва когнитивните способности, емоционални процеси и игрови стил, както и игровата адаптивност в сериозни ситуационни игри. Планира се събирането на два типа данни:
A. Събиране на нечувствителни данни за участниците в изпитанията– включва техните имена, възраст, пол и имейл, както и сертификатите за информирано съгласие;
B. Събиране на информация за оценка, споделена от участниците– включва анонимизирани мнения, идеи, предложения изразени по време на двете групови дискусии, както и отговорите на въпросниците.
Посочено е, че ще бъде изготвен номериран списък на студентите от факултета, съобразен с учебната им програма публикувана в локалната електронно-образователна платформа. Той ще съдържа имената, възрастта, пола и имейла на студента, все данни достъпни от електронната платформа. Всички студенти, които са потвърдили участие, ще останат в списъка и ще получат имейли с информация за формата за съгласие и тн. Тези, които се съгласят да участват в проекта ще подпишат сертификат за съгласие/ формуляр за информирано съгласие/. Той ще бъде съхраняван до края на проекта, като поверителна информация. Относно изводи от груповите дискусии е посочено, че те ще бъдат оформени като анонимизирани обобщени данни, които няма да съдържат никаква лична информация за участниците. Предвижда се попълване на въпросници. Посочено е, че въпросниците са анонимизирани, не съдържат имена, само номера на участниците. Казва се, че ако даден участник не желае да отговори на определен въпрос във въпросника, той може да го пропусне. Относно поверителност на данните е посочено, че въпреки че събраната информация не е класифицирана, тя ще бъде съхранявана поверително и отговорно. Информацията няма да бъде трансферирана до трети лица и до нея ще има достъп единствено екипът по проекта. Единствено сертификатите за информирано съгласие може да бъдат изпратени на Управляващия орган по програмата при поискване.
В документа „Процедура за набиране на участници“ е посочено, че щебъдат използвани следните методи на подбор:
– Рекламни съобщения– чрез листовки, публикации в уебсайтове, съобщения по време на лекции
– Идентификация на студентите допустими за участие– всички студенти в магистърската програма по Технологично предприемачество във факултета по математика и информатика на СУ.
– Покана– чрез е-майл изпратен по локалната платформа за електронно образование.
– Разработване и употреба на списък с участници.
Казва се, че ще бъде изготвен номериран списък на студентите от факултета, съобразен с учебната им програма публикувана в локалната електрнно-образователна платформа. Посочено е, че той ще съдържа имената, възрастта, пола и имейла на студента, все данни достъпни от електронната платформа. Посочено е също, че всички студенти, които са потвърдили участие, ще останат в списъка и ще получат имейли с информация за формата за съгласие и тн. Относно участието в проекта е указано, че то е напълно доброволно. Казва се, че участието/неучастието в проекта не се отразява по никакъв начин върху университетското следване във Факултет „Математика и информатика”.
Относно документа „Формуляр за информирано съгласие“. Формуляра за информирано съгласие се състои от следните части:
– Представяне на изследователя проф. Б.Б.
– Целта на изследването
– Tипът на провежданите мероприятия– (групови дискусии, ролева игра, попълване на въпросници).
– Подбор на кандидатите– при него не са използвани критерии като: възраст, пол, здравно състояние, сексуален живот, етнос, политически пристрастия, религиозни или философски възгледи, т.е няма никакъв подбор въз основа на лични характеристики.
– Участието е на доброволни начала.
– Стъпки за провеждане на изследването:
1.Запознаване с формата за информирано съгласие
2. Предварителна дискусия
3. Подписване на формата за съгласие
4. Предварително проучване
5. Ролева игра
6. Дискусия
7. Проучване
Сочи се, че попълваните форми и въпросници за анонимни, на тях не се записва име или ЕГН, те съдържат единствено номера на участника.
Относно поверителност на данните е посочено, че данните придобити по време на проучването няма да бъдат предоставяни на трети лица. сочи се, че достъп до тях ще има единствено екипът на проучването. посочено е, че цялостният процес е анонимизиран, участниците използват номера, а не имената си. Казва се , че участниците в дискусията нямат право да изнасят информация придобита по време на проучването. Сочи се, че събраната лична информация ще бъде заличена до 2 месеца след приключването на проекта. Казва се още, че проучването ще бъде публикувано с обобщени данни под формата на статистическа информация и без лични данни.
В документа „Процедура за информирано съгласие“ се съдържа кратка информация относно Обща политика във връзка с информираното съгласие. Сочи се, че информираното съгласие е задължително, според разпоредбите регулиращи научните изследвания. Указано, че процесът по придобиване на информирано съгласие обхваща 3 стъпки:
1. Разкриване на потенциалните обекти на изследване цялата необходима информация, за вземане на информирано решение;
2. Улесняване на разбирането каква точно информация е била споделена;
3. Промотиране на доброволността на решението за участие в проучването.
Сочи се, че информираното съгласие се базира на следните принципи:
· Доброволно участие
· Поверителност на събраните данни
· Право на отказ или оттегляне на съгласието
· Информираност относно рисковете, ползите, процедурите по проучване и евентуалната употреба на данните за комерсиални цели.
Посочени са стъпки за прилагане на процедурата за информирано съгласие:
1. Минимум 2 месеца предварително ще бъде публикувано публично съобщение за проучването на място;
2. Не по-рано от месец преди проучването на студентите в магистърската програма ще бъде изпратена покана по имейл, чрез автоматично генерирано съобщение;
3. Не по-късно от 2 седмици преди проучването ще бъде изпратен имейл на желаещите да участват, който ще съдържа формата за информирано съгласие, обяснение за местоположението на събитието, дата и програма на самото занятие;
4. Не по-късно от 5 дни преди събитието на потвърдилите участници ще бъде изпратен имейл за напомняне.
5. Настоящият документ ще бъде изпратен на участниците 2 седмици предварително, заедно с формата за информирано съгласие, за да могат те да се запознаят с тях по надлежния ред.
6. Предварителна дискусия– тя ще бъде организирана в групи от по 15 човека, водени от наставник.
Подписване на Сертификат за съгласие– след решение за участие студентите ще подпишат формата за информирано съгласие.
По отношение на съхранение и унищожаване на сертификатите за съгласие е посочено, чеСертификатите за съгласие ще бъдат съхранявани от научния сътрудник по проекта до неговия край. Те могат да бъдат предавани единствено на Управляващия орган на програма „Хора”. След края на проекта те ще бъдат унищожени
Съгласно Закона за защита на личните данни, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.„Специфични признаци“ са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето. Информацията за която е, посочено че ще се събира по този проект: имена, възраст, пол и имейл, както и сертификатите за информирано съгласие би могла да доведе до идентифицирането на конкретно физическо лице и като такава тя попада в определението да „лични данни“ по смисъла на Закона за защита на личните данни.
В параграф1 от Допълнителните разпоредби на ЗЗЛД се съдържа законовото определение на понятието „обработване на лични данни”, а именно: „Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”. В настоящия случай, може да се направи предположението, запитването касае възможността за обработване на лични данни под формата на събиране, записване, организиране, съхраняване и употреба. Във връзка с обработването на лични данни, следва да се има предвид, че всеки администратор на лични данни е длъжен да обработва личните данни законосъобразно, при спазване разпоредбите на ЗЗЛД. Редът за обработване на лични данни, включително за предоставянето им, е регламентиран с изчерпателното изброяване на законовите основания в чл.4, ал.1, т.1– т.7 от ЗЗЛД, при наличието на поне едно от които, е допустимо обработване на лични данни. В изложеният казус е налице условие за допустиво обработване на данните по смисъла на т.2 на ал.1, от чл.4 на ЗЗЛД- физическото лице, за което се отнасят данните ще даде изрично своето съгласие.
Съгласно чл.2, ал.2 от ЗЗЛД събраните лични данни следва да се обработват законосъобразно и добросъвестно, да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, т.е. да бъдат пропорционални, както и да се заличават и коригират в случай на непропорционалност по отношение на целите, за които се обработват. Във всички случаи правомерното обработване на лични данни е необходимо да се извършва в съответствие с принципите на законосъобразост, целесъобразност и пропорционалност на данните.
От изпратените документи може да се направи предположение, че професор Б.Б. се явява администратор на лични данни съгласно чл.3, ал.1 от ЗЗЛД поради което, същия следва да подаде заявление за регистрация като администратор на лични данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. В конкретния казус за обработване на посочените данни на участниците по проект ADAPTIMES e налице условие за допустимо обработване на лични данни по смисъла на чл.4, ал.1, т 2 от ЗЗЛД- физическото лице за което се отнасят данните дава изрично своето съгласие.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
