Уредбата на защитата на личните данни във вътрешното законодателство на Република България се съдържа в Закона за защита на личните данни (ЗЗЛД), с който са въведени разпоредбите на Директива 95/46/ЕО. Цел на закона е да гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. Съгласно чл. 1, ал. 9 ЗЗЛД извън приложното поле на закона остава обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, съхранявана в Националния архивен фонд. Извън тези изключения администраторите1 на лични данни са задължени да прилагат изискванията на българския закон, когато са установени на територията на Република България или когато за целите на обработването използват средства, разположени на българска територия, или по силата на задължение, произтичащо от международното публично право (чл. 1, ал. 4 ЗЗЛД).
Понятие за обработване на лични данни
Под „обработване на лични данни“ се разбира всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства. Легалната дефиниция в § 1, т. 1 от Допълнителните разпоредби на ЗЗЛД съдържа и примерно изброяване на действията. Те могат да се изразят в събиране, записване, съхраняване, организиране, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Без значение е в какво се изразяват конкретните действия по обработване на личните данни. Дори самото съхраняване на лични данни, без да се извършва някаква друга дейност по отношение на тях, е достатъчно да се приеме, че е налице обработване на такава информация. Най-често дейностите по обработване на лични данни се изразяват в събиране и съхраняване на данните от администратора и предоставянето им на трети лица.
Условия за допустимо обработване на лични данни
За да е допустимо обработването на лични данни, то трябва да се осъществява само в случаите, когато е налице поне едно от условията, предвидени в чл. 4 ЗЗЛД. Тези условия или още определяни като основания за допустимо обработване на лични данни са алтернативно предвидени в закона. Част от тях предполагат съгласие на физическото лице, за което се отнасят данните, но има и такива, при които съгласието на лицето не е необходимо. Следва да се направи уточнението, че основанията по чл. 4 ЗЗЛД правят допустимо обработването на лични данни, които не са поставени под особен режим съгласно чл. 5 ЗЗЛД.
Данните под особен режим (т.нар. чувствителни лични данни или специални категории лични данни) са тези, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, както и данните, които се отнасят до здравето, сексуалния живот или до човешкия геном2. Като правило обработването на такива данни е забранено, но забраната не е абсолютна и може да отпадне при наличието на поне едно конкретно посочено от закона условие. Основанията за дерогиране на забраната за обработване на чувствителни лични данни са обхванати в чл. 5, ал. 2 ЗЗЛД. Като се отчита характерът им на изключения, те трябва да се тълкуват стриктно и да се прилагат единствено в случаите, за които са изрично установени.
В чл. 4, ал. 1, т. 3 ЗЗЛД са предвидени две самостоятелни основания за обработване на лични данни, които намират приложение в преддоговорните и договорните отношения между администратора на лични данни и физическото лице, за което се отнасят данните. Те са възприети и в чл. 6, пар. 1, б. „б“ от Регламент (ЕС) 2016/679, който предвижда, че обработването на данните е законосъобразно, ако „е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор“.
Обработване на лични данни в преддоговорните отношения
В съответствие с чл. 4, ал. 1, т. 3 ЗЗЛД обработването на лични данни е допустимо за действия, предхождащи сключването на договор, но е необходимо още те да са предприети по искане на физическото лице, за което се отнасят данните. От значение за приложение на това основание е инициативата за предприемане на действия по сключване на договора да принадлежи на физическото лице, за което се отнасят данните.
Ако инициативата за предприемане на действията по сключване на договора е на администратора или на трето лице, няма да бъде допустимо обработването на личните данни на основание чл. 4, ал. 1, т. 3 ЗЗЛД. В този случай трябва да е налице някое от другите условия по чл. 4, ал. 1 ЗЗЛД, най-често физическото лице, за което се отнасят данните, да е дало изрично своето съгласие. Например, ако администраторът предлага стоки и услуги на физически лица по пощата, по телефон или друг директен начин, което попада в понятието „директен маркетинг“ по смисъла на § 1, т. 15 от Допълнителните разпоредби на ЗЗЛД, той не може да се позове на основанието за допустимост по чл. 4, ал. 1, т. 3 ЗЗЛД, а трябва да има изричното съгласие на физическото лице, за което се отнасят данните, дадено за целите на директния маркетинг. Съгласието на физическото лице трябва да бъде свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят данните, недвусмислено приема те да бъдат обработвани. Законът не предвижда форма за действителност на съгласието, но изискването му на практика в писмена форма има значение към доказването, което е в тежест на администратора на лични данни. Съгласието може по всяко време да бъде оттеглено и при липса на друго условие за допустимо обработване на личните данни съответните действия по обработване трябва да бъдат преустановени. При обработването на лични данни за целите на директния маркетинг физическото лице има право на възражение срещу такова обработване (чл. 34а, ал. 1, т. 2 ЗЗЛД), а администраторът на лични данни е длъжен да информира физическото лице за правата му по чл. 34а, ал. 1, т. 2 и 3 ЗЗЛД. В този контекст ще бъде недопустимо обработване на лични данни за целите на директния маркетинг без наличие на поне едно условие по чл. 4, ал. 1 ЗЗЛД или след като лицето е възразило срещу обработването на личните му данни с действие занапред. Администраторът не само няма правна възможност да обработва лични данни за целите на директния маркетинг без съответно условие за допустимост на обработването, но и когато изисква съгласието на физическото лице, трябва по своя инициатива да предприеме действия по информиране на лицето за правото му на възражение срещу такова обработване. Това е своеобразна гаранция срещу недобросъвестни практики физическото лице да бъде оставяно с впечатлението, че даването на съгласие за използване на данните му за целите на директния маркетинг е необходимо условие за извършването на дейността, за която се е обърнал към администратора.
Разграничаването на инициативата за предприемане на действия по сключване на договор е от съществено значение за преценката на приложимото основание за допустимо обработване на личните данни. При всички положения обаче, независимо от основанието за обработване, администраторът е длъжен да осигури спазването на принципите при обработване на личните данни във всеки конкретен случай.
Обработване на лични данни на физическо лице, което е страна по договор с администратора
На основание чл. 4, ал. 1, т. 3, предл. първо ЗЗЛД обработването на лични данни е допустимо, когато физическото лице е страна по договор с администратора, ако това е необходимо за изпълнение на задължения по договор. Ако за целите на изпълнението на договора личността на физическото лице, което е страна по договора, няма значение, не е допустимо да бъдат събирани личните му данни на това основание. Например при продажба на стоки е разпространена практиката да се издават клиентски карти за ползване на отстъпки. За издаването им се изисква идентифициране на физическото лице, което може да стане само с негово съгласие, т.е. събирането на такива данни ще е допустимо на основание чл. 4, ал. 1, т. 2 ЗЗЛД, а не по силата на договора за продажба, за изпълнението на който не се налага продавачът да разполага с личните данни на купувача. Различен би бил случаят, ако продавачът се е задължил да достави стоката. На основание чл. 4, ал. 1, т. 3 ЗЗЛД той ще има основание да обработи личните данни относно името и адреса на физическото лице, които са необходими за изпълнението на това задължение.
Преценката дали е било допустимо обработването на личните данни е конкретна и зависи от обстоятелствата на случая. При всички положения трябва да има връзка между обработването на личните данни и изпълнението на договора. Не е достатъчно обработването на данните да е предвидено в договора. Дори да приемем, че в тези случаи физическото лице, което е страна по договора, е дало своето съгласие, администраторът е задължен да осигури прилагането на принципите за защита на личните данни, сред които е и изискването данните да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, т.е. да бъдат пропорционални на целта, за която се обработват.
В практиката възникват спорове относно законосъобразността на обработването на лични данни, когато администраторът е прехвърлил своето вземане по договора и в резултат на това личните данни са предоставени на трето лице с цел събиране на неизплатени задължения. Обстоятелствата, които се изследват при жалби срещу кредитори, предоставили данни за своите длъжници на дружества за събиране на задължения, са следните:
1) Възлагане на обработката и използването на личните данни на нередовните длъжници от администратора на дружество за събиране на задължения въз основа на валидно правно основание, например писмен договор. Дружеството за събиране на задължения се явява обработващ лични данни по смисъла на § 1, т. 3 от Допълнителните разпоредби на ЗЗЛД по отношение на данните, чието обработване е възложено от администратора. Според чл. 24, ал. 1 ЗЗЛД е допустимо обработването на лични данни чрез възлагане на обработващ данните, но отношенията между администратора и обработващия лични данни трябва да бъдат уредени с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на възложените задължения. Задължението на администратора да предостави на физическото лице информация за получателите или категориите получатели, на които могат да бъдат разкрити данните, следва от чл. 19 ЗЗЛД. Разпоредбата визира случаите, при които личните данни се събират от лицето, за което се отнасят, и са предвидени обстоятелствата, по които то трябва да получи информация от администратора или негов представител.
2) Предоставянето на личните данни на длъжниците да става с тяхното знание и предварително съгласие. Това се извършва най-често чрез включване на съответни клаузи в общите условия, които се представят на клиентите при подписването на индивидуалните договори с тях. В договора се включват разпоредби, в които се определя целта, за която личните данни на клиента могат да се предоставят на трети лица, а именно за събиране на дължими по договора вземания. При липса на доказателства, че общите условия обвързват потребителя, предоставянето на лични данни без неговото съгласие е в нарушение на чл. 4, ал. 1, т. 2 ЗЗЛД3.
3) Физическото лице да попада в групата на клиентите на администратора и да има неизплатени задължения към администратора. При липсата на такива данни няма връзка между обработването на личните данни и изпълнението на задължения по договор.
4) Предоставянето на личните данни да не надхвърля целите, за които те са събрани и обработвани от администратора. Това означава личните данни да не бъдат допълнително обработвани за други цели, несъвместими с тези, заради които са били събрани. Ако съгласието за предоставянето им на трети лица е във връзка със събиране на вземания, няма да бъде допустимо да бъдат използвани например за предлагане на стоки и услуги от обработващия или прехвърляни на други получатели.
Изводът е, че „лични данни на физически лица е допустимо да се използват от търговци, действащи в качеството на обработващи лични данни от името на администратора, при наличие на условията на чл. 24, ал. 4 ЗЗЛД, а именно: наличие на писмени договори между фирмите-кредитори и фирмите за събиране на вземания. Също така конкретните физически лица следва да бъдат предварително уведомени за целите, за които данните им могат да бъдат предоставени на трети лица, а също и да бъде получено съгласието им за това. Едновременно с посоченото, е необходимо да е налице изискуемо и неизплатено задължение, както и личните данни да са предоставени единствено с цел събиране на вземането“4.
Принципи при обработването на лични данни
Правомерното обработване на лични данни налага във всеки конкретен случай администраторът да разполага с поне едно условие за допустимото им обработване, както и да осигурява прилагането на принципите при обработване на данните, предвидени в чл. 2, ал. 2 ЗЗЛД. По силата на чл. 3, ал. 4 ЗЗЛД спазването на изискванията на чл. 2, ал. 2 ЗЗЛД се осигурява от администратора, независимо дали обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
В българската правна уредба са установени принципите за законосъобразност, целесъобразност, съразмерност (пропорционалност), точност и за съхранение/запазване на данните. В чл. 5 на Регламент (ЕС) 2016/679 тези принципи са доразвити, като от датата на неговото прилагане администраторът ще трябва да обработва данните по прозрачен начин по отношение на субекта на данните (принцип на прозрачност), като носи отговорността за прилагането на всички изисквания и е в състояние на докаже спазването им (принципа на отчетност).
Наличието на условие за допустимо обработване на личните данни не отменя задължението на администратора да обработва данните в съответствие с изискванията на закона, за конкретни, точно определени и законни цели. Забранено е допълнителното обработване по начин, несъвместим с целите, за които данните са били събрани. Допълнителното обработване е възможно за исторически, статистически или научни цели, но при условие, че администраторът осигури подходяща защита. Във връзка с целта, за която данните се обработват, е необходимо да се прецени дали е спазен принципът на пропорционалност. Данните трябва да бъдат съотносими, свързани и да не надхвърлят целите, за които се обработват. Регламент (ЕС) 2016/679 определя този принцип като „свеждане на данните до минимум“ и именно в това се изразява приложението на това изискване - да се събират толкова данни, колкото е необходимо с оглед целта на обработването. Ако данните се предоставят за целите на изпълнение на задължение по договор, те трябва да са в минимално необходимия обем за постигането на тази цел. Принципът на точност налага да се събират данни, които са актуални, като администраторът е задължен да заличи или коригира данните, които са неточни или непропорционални на целите, за които се обработват. В чл. 2, ал. 2, т. 6 ЗЗЛД е установено и изискването данните да се поддържат във вид, който позволява идентифицирането на съответните физически лица за период, не по-дълъг от необходимия за целите на обработване на данните. Винаги трябва да има определен срок за обработване на данните, чиято продължителност се определя според целта на обработването. Съхраняването за по-дълъг период е възможно за исторически, статистически или научни цели, но данните трябва да бъдат поддържани във вид, който не позволява идентифицирането на физическите лица.
Администраторът е задължен да предприеме необходимите технически и организационни мерки, за да защити данните от неправомерно унищожаване, загуба, неправомерен достъп, изменение и разпространение, както и от други неправомерни форми на обработване. Конкретното ниво на технически и организационни мерки при обработване на личните данни се определя от администратора според нивото им на въздействие, което е в зависимост от обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостността или наличността на данните. Минималните изисквания са определени в Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, приета на основание чл. 23, ал. 5 ЗЗЛД от Комисията за защита на личните данни. Обработването по начин, който гарантира подходящо ниво на сигурност на личните данни, е обособено като принципно положение (принцип на цялостност и поверителност) в Регламент (ЕС) 2016/679.
Невин ФЕТИ, юрист
________________
1 Понятието „администратор на лични данни“ е легално определено в чл. 3, ал. 1 ЗЗЛД и такъв може да бъде всяко физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който самостоятелно или съвместно с друго лице определя целите и средствата за обработване на личните данни. Определящ елемент на дефиницията е реалното обработване на лични данни и качеството „администратор“ е за лицето, което взема решението относно определянето на целите и средствата, за които е необходимо това обработване. Администраторът на лични данни определя вида и категориите данни, които ще се обработват, лицата, които ще имат достъп до тях, лицата, на които ще се предоставят, начините и сроковете за обработване. В случаите, когато целите и средствата за обработване на личните данни се определят със закон, статутът на администратора произтича от закона или критериите за неговото определяне са нормативно установени. Качеството „администратор“ може да произтича и от извършваната от лицето дейност, включваща обработване на лични данни, който е практически по-често срещаният случай.
В правомощията на Комисията за защита на личните данни е да води регистър на администраторите на лични данни и на водените от тях регистри на лични данни (чл. 10, ал. 1, т. 2 ЗЗЛД), който е публичен и достъпен на сайта на Комисията на адрес www.cpdp.bg. Задължение на администратора на лични данни е да подаде заявление за регистрация преди да започне обработването на лични данни (чл. 17, ал. 1 ЗЗЛД). В общия случай администраторът може да започне обработване на данните след подаване на заявлението за регистрация, но ако е заявил обработване на данни по чл. 5, ал. 1 (данни под особен режим, т.нар. чувствителни лични данни), той трябва да изчака вписването в регистъра, което става по решение на Комисията за защита на личните данни след предварителна проверка по правилата на чл. 17б ЗЗЛД.
2 В чл. 9, пар. 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни в специалните категории лични данни са включени и биометричните данни, които могат да се обработват единствено за целите на идентифицирането на физическо лице, при наличие на поне едно основание по чл. 9, пар. 2, което може да доведе до дерогиране на забраната за обработване на такива данни.
3 Вж. Решение № 1575 от 12.02.2016 г. по адм. д. № 3238/2015 г., V о. на ВАС.
4 Становище на Комисията за защита на личните данни рег. № ЗАП-43/2012 от 01.11.2012 г., т. 3.