Становище на КЗЛД по искане от управителя на „И.“ ЕООД във връзка с приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венета Шопова и Членове Красимир Димитров и Валентин Енев на редовно заседание, проведено на 11 декември 2013г. разгледа искане с вх.№П-6793/21.10.201 Зг. подадено от г-жа Л.М.- Управител на „И.“ ЕООД, във връзка с приложението на Закона за защита на личните данни.

Получено е искане с вх.№П-6793/21.10.2013г. от г-жа Л.М.- Управител на „И.“ ЕООД, във връзка с приложението на Закона за защита на личните данни и по-конкретно законосъобразния начин на обработване на лични данни за целите на директния маркетинг и проучване. В искането е посочено, че „И.“ ЕООД е агенция за маркетингови проучвания, работещи по международен изследователски проект, финансиран от Европейския Изследователски Съвет (European Research Council). Този проект представлява проучване на общественото мнение, изучава мнението на гражданите за предоставянето на обществени услуги в техните страни, как те виждат техния принос за предоставянето на публични услуги и какви очаквания имат те към държавата. Проектът се нарича „Публичните блага през частния поглед.Изследване на нагласите на гражданите към публичните блага и държавата в страните от Централна и Източна Европа“. То обхваща 14 пост комунистически страни, като България е една от тях. Представен е и емайл адрес, на който има допълнителни подробности относно проучването. Във връзка с този предстоящ проект е и искането за становище до КЗЛД относно потвърждение на това, че осъществяването на извадката и процедурите по проверка на качеството на теренната работа са в съгласие с националното законодателство във връзка с защитата на личните данни. Посочено е. че теренната работа ще следва стандартната процедура за подбор на респонденти при проучване на общественото мнение: домакинствата ще бъдат подбрани на случаен принцип, като ще бъде интервюиран по един член на домакинство, който също ще бъде избран на случаен принцип. Посочено е, че адресите, на които ще бъдат осъществени интервютата, ще бъдат избрани от агенция И., оперираща в България, регистрирана като администратор на лични данни- Удостоверение №003368. За събиране на адресите е посочено, че ще бъде използвана следната процедура:

– Представители на агенция И. ще изготвят списък от адреси, избрани в определени случайно избрани населени места/квартали. Списъкът ще бъде поставен на сървъра на проекта, който е защитен с парола, достъпен е само за участниците в проекта и е позициониран в Полша.

– Списъкът с адреси ще бъде използван от агенция И., чиито интервюери ще провеждат интервюта с респонденти на избраните адреси. Информация за резултата от контакта (напр. отказ, осъществено интервю и т.н.) ще бъде отбелязан на отделен формуляр за контакти, отделно от въпросниците. Уточнено е, че тези формуляри, също така, съдържат информация за възрастта и пола на интервюирания човек (но не и друга лична информация) и адреса на домакинството. Поотделно, интервютата и контактните формуляри, ще бъдат поставени на сървъра на проекта.

В искането е посочено също, че контактните формуляри ще бъдат използвани от агенция И., която ще осъществи контрол дали дадено интервю или друг тип контакт са били осъществени (приблизително 10% от интервютата, 5% от отказите и 5% от неконтактите ще бъдат проверени), като идентифицирането на респондента ще бъде осъществено на базата на контактния формуляр. Посочено е също, че след осъществяването на проверките, всички контактни формуляри ще бъдат унищожени и няма да има никаква информация, която да идентифицира по някакъв начин респондента или домакинството. Изрично е уточнено, че респондентите (физическите лица) ще бъдат уведомявани за поверителността на техните отговори, както и че участието в нашето изследване не е задължително и че те могат да откажат да извършат интервюто във всеки един момент. Във връзка с изложеното са и поставените въпроси в искането относно това, дали гореописаната процедура е в съответствие с правилата, по отношение на събирането и съхранението на лични данни; поставянето на проучвания и контактни формуляри на сървър, позициониран извън България.

„И.“ ЕООД, ЕИК ******* е администратор на лични данни по смисъла на чл.3 от ЗЗЛД. След извършена служебна справка се установи, че към момента „И.“ ЕООД, в качеството си на администратор на лични данни е вписан в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, със старото си наименование „С.“ ЕООД, като е заявил два броя регистри: регистър „Анкетирани“ и регистър „Служители“. С оглед установената промяна, считам за целесъобразно да се укаже на администратора „И.“ ЕООД да актуализира заявените от него данни в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД.

„Обработване на лични данни“, съгласно определението, посочено в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. За да е налице законосъобразно обработване на лични данни същото следва да се осъществява само при наличие на едно поне едно от посочените в чл.4, ал.1 от ЗЗЛД условия за допустимост на данните и при спазване на установените в чл.2, ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност. Относно наличието на условие за допустимост за обработване на лични данни в настоящият казус може да бъде единствено визираното в чл.4, ал.1, т.2 от ЗЗЛД, а именно физическото лице, за което се отнасят данните, е дало изрично своето съгласие.

Съгласно §1. т.13 от Допълнителните разпоредби на ЗЗЛД, „Съгласие на физическото лице“ е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице са следните:

– Да е свободно изразено-предоставено от физическото лице. по негово собствено желание, без елемент на принуда;

– Да бъде недвусмислено- съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

-Да е конкретно-т.е съгласието следва да бъде предоставено за обработване на лични данни от конкретно лице за конкретни цели;

-Да е информирано- лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.

– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване

Съобразно действащата към настоящия момент нормативна уредба в сферата на защитата на личните данни в Република България за изразеното съгласие на физическо лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни. КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласието произхожда именно от физическото лице, за което се отнасят данните

С оглед обстоятелството, че данните ще бъдат използвани за целите на директния маркетинг администратора на лични данни- „И.“ ЕООД е длъжен да уведоми изрично всяко физическо лице, чиито данни ще обработва за тези цели за правата му по чл.34а. ал.Е т.2 от ЗЗЛД, а именно, правото му да възрази пред администратора срещу обработването на личните му данни за целите на директния маркетинг. В случай на направено възражение от страна на физическото лице данните му да бъдат обработвани за целите на директния маркетинг, администраторът на лични данни „И.“ ЕООД следва незабавно да преустанови тяхното обработване.

Администраторът е длъжен да изпълни задълженията си съгласно чл.19 и чл.20 от ЗЗЛД, а именно: да информира физическото лице относно данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; категориите лични данни, отнасящи се до съответното физическо лице; получателите или категориите получатели, на които могат да бъдат разкрити данните; информация за правото на достъп и правото на коригиране на събраните данни.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД. Комисията за защита на личните данни изрази следното

За да е налице законосъобразно обработване на лични данни същото следва да се осъществява само при наличие на едно поне едно от посочените в чл.4, ал.1 от ЗЗЛД условия за допустимост на данните и при спазване на установените в чл.2. ал.2 от ЗЗЛД принципи за законосъобразност, пропорционалност и целесъобразност. В настоящия казус приложение може да намери разпоредбата на чл.4, ал.1, т.2, т.е. обработването ще бъде допустимо само при наличие на свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани за целите на директния маркетинг.

Администраторът на лични данни „И.“ ЕООД е длъжен да уведоми изрично всяко физическо лице, чиито данни ще обработва за целите на директния маркетинг, за правата му по чл.34а. ал.1, т.2 от ЗЗЛД, а именно, правото му да възрази пред администратора срещу обработването на личните му данни за целите на директния маркетинг.

В случай на направено възражение от страна на физическото лице данните му да бъдат обработвани за целите на директния маркетинг, администраторът на лични данни „И.“ ЕООД следва незабавно да преустанови тяхното обработване.

Администраторът на лични данни „И.“ ЕООД следва да актуализира заявените от него данни в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД относно настъпилите промени.