Становище на КЗЛД относно искане с вх. № П1759/ 19.05.2012 год. от главния секретар на МВР по въпроси, касаещи приложението на ЗЗЛД във връзка с извършване на проверки относно автентичността на българските документи за самоличност

Комисията за защита на личните данни (КЗЛД) в състав Председател: Венета Шопова и Членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 27.06.2012 г., разгледа искане с вх.№П1759/19.05.2012год. от Главен комисар К.Г.- Главен секретар на МВР, с което информира, че на основание чл.65, ал.3 от Закона за българските лични документи (ЗБЛД) е създаден автоматизиран информационен фонд – „Национален регистър на българските лични документи” (НАИФ НРБЛД). В този регистър се съхраняват данни от българските лични документи, заявленията за издаването им и биометрични данни.

Посочено е, че с оглед предотвратяване опитите за използване на подправени български лични документи от страна на МВР са предприети мерки, а именно:

В интернет страницата на МВР е предоставена възможност за извършване на проверка относно валидността на документа чрез въвеждане номера на паспорт, лична карта или СУМПС за чужденците, като в резултат се изписва съобщение дали той е валиден или не. От предоставената възможност за проверка се ползват много държавни органи, ведомства и други организации като банки, консулски служители и други, въпреки че тази възможност дава единствено информация дали документът за самоличност е валиден или не. От нея не може да се установи дали конкретният документ за самоличност не е подправен.

Във връзка с посоченото, Главен комисар К.Г. информира, че с цел превенция и пресичане възможността от ползване на подправени български документи за самоличност, на e-mail адреса на МВР е възможно да постъпват запитвания от полицейски служби на други държави, както и служби и ведомства на територията на Република България по въпроси, свързани с автентичността на издадени български документи за самоличност. Към запитванията ще се прилага сканирано изображение на персонализираната страница на българския документ за самоличност. След проверка в информационната система – Националния регистър на българските лични документи, към запитващото ведомство ще се връща само отговор дали документът е автентичен или не. В резултат на тази проверка ще се пресекат злоупотребите с подправени документи за самоличност.

Предвид изложеното, Главен комисар К.Г. се обръща към Комисията за защита на личните данни (КЗЛД) за компетентно становище дали ще бъдат нарушени разпоредбите на Закона за защита на личните данни (ЗЗЛД) в случай, че се популяризира възможността в страната и чужбина (само в случай, когато имат правно основание или съгласие на гражданина, притежател на документа), чрез интернет страницата на МВР да се получават сканирани изображения на персоналните страници на български документи за самоличност, съдържащи лични данни и да се връща отговор за тяхната автентичност.

С оглед на горепосоченото, следва да се има предвид следното:

Действията по отношение предаването по електронен път на сканираните изображения на персоналните страници на българските документи за самоличност представляват “Обработване на лични данни”, съгласно легалната дефиниция, посочена в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД.

В тази хипотеза по отношение законосъобразните условия, при наличието на които се допуска обработването на личните данни, следва да намерят приложение разпоредбите на чл.4, ал.1 от ЗЗЛД. Този текст урежда алтернативни основания, при наличието на които се допуска обработването на лични данни.

Съгласно чл.4, ал.1, т.1 от ЗЗЛД обработването на лични данни се допуска, ако е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни.

В конкретния случай ЗБЛД е специалният закон, който вменява такова задължение на администратора – МВР. В чл.70 от ЗБЛД са посочени субектите, имащи право да получават информация от информационните фондове за българските лични документи, като в чл.70, ал.4 е посочено, че данните се предоставят по ред, определен с акт на Министерския съвет – Правилник за издаване на българските лични документи (Приет с ПМС№13 от 08.02.2010 г., обн. ДВ. бр.12 от 12 февруари 2010г., изм. ДВ. бр.42 от 4 юни 2010г., изм. ДВ. бр.51 от 5 юли 2011г.)

Друга възможност, която ЗЗЛД допуска като законосъобразна е разписана в чл.4, ал.1, т.2 от ЗЗЛД – обработването на лични данни се допуска, ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие, т.е. притежателят на български документ за самоличност да бъде информиран относно възможността за извършване на проверка за автентичност на представения документ, както и да бъде дадено недвусмислено съгласие на притежателя на документа за извършването на такава проверка.

Следва да се има предвид, че целта на ЗЗЛД е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни.

Във всеки един конкретен случай на обработване на лични данни е необходимо да се следи за баланса между значимостта на обществения интерес, който налага това обработване и степента, до която се засяга правото на неприкосновеност на личния живот на физическото лице, за което се отнасят данните.

Също така при анализа на изложения казус следва да се вземат предвид и разпоредбите на чл.23 от ЗЗЛД, съгласно които администраторът на лични данни (в случая МВР) следва да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Съгласно чл.23, ал.2 и ал.3 от ЗЗЛД администраторът на лични данни взема специални мерки за защита, когато обработването включва предаване на данните по електронен път, като мерките са съобразени със съвременните технологии и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.

Администраторът на лични данни трябва да определи и срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни.

Конкретно относно изложения казус е необходимо да се регламентира редът за последващо унищожаване на получените по електронен път сканирани копия на документи за самоличност.

Посочените изисквания за предприемане на съответните мерки, както и сроковете за провеждане на периодични прегледи във връзка с необходимостта от обработване на данните и за тяхното заличаване се определят с инструкция на администратора на лични данни (чл.23, ал.4 от ЗЗЛД).

С оглед на гореизложеното и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното

Администраторът на лични данни (Министерство на вътрешните работи) може да получава по електронен път сканирани изображения на персоналните страници на български документи за самоличност, съдържащи лични данни и да връща отговори за тяхната автентичност при наличие на поне едно от посочените в разпоредбата на чл. 4, ал. 1 от ЗЗЛД условия за допустимост.

В конкретната хипотеза възможни предпоставки за допустимост са разпоредбите на чл. 4, ал. 1, т.1 от ЗЗЛД – обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни при условията на чл.70 от ЗБЛД, както и чл.4, ал.1, т.2 от ЗЗЛД – физическото лице, за което се отнасят данните, е дало изрично своето съгласие.

Преценката за наличие или липса на законово основание за предоставяне на лични данни е изцяло на администратора на лични данни, предоставящ данните.

Едновременно с това администраторът на лични данни следва да се съобрази с разпоредбите на чл.23 от ЗЗЛД относно предприемане на необходимите технически и организационни мерки за защита на данните, предавани по електронен път.