неделя, 7 април 2013 г.

СТАНОВИЩЕ НА КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ рег. № ЗАП-43/2012 гр. София, 01.11.2012г.

ОТНОСНО: Искане с вх. № ЗАП-43/17.10.2012 год. от А.Д., заместник-председател на ПП „ВМРО-Българско национално движение”, общински съветник в Столичен общински съвет, по въпроси свързани със защитата на личните данни при осъществяване дейността на търговските дружества с предмет на дейност „Събиране на парични вземания”

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 01.11.2012г., разгледа преписка с вх. № ЗАП-43/17.10.2012 год. от А.Д., заместник-председател на ПП „ВМРО-Българско национално движение”, общински съветник в Столичен общински съвет.
В искането си до Комисията за защита на личните данни (КЗЛД, Комисията), А.Д. отбелязва, че във връзка със зачестилите сигнали и оплаквания на граждани срещу дейността на така наречените фирми за събиране на задължения, възникват съществени проблеми във връзка с употребата и съхраняването на лични данни от страна на тези дружества.
По повод изложеното, г-н А.Д. се обръща към КЗЛД за становище по следните въпроси:
1.   Регистрирани ли са и съответно контролирани ли са за дейността си администратор на лични данни търговски дружества с дейност по Националния класификатор на икономическите дейности (НКИД) „събиране на парични вземания”;
2.   Допустимо ли е свободен трансфер на лични данни между кредитори и търговски дружества с дейност по НКИД „събиране на парични вземания” без знанието и съгласието на съответните физически лица;
3.   Допустимо ли е лични данни на физически лица да се използват от различни търговци за събиране на различни вземания без съгласието и знанието на физическите лица;
4.   Допустимо ли е позоваването на информация от други търговци за идентифициране на физически лица без знанието и съгласието на физическите лица;
5.   Налагани ли са административни наказания на търговци и физически лица за нарушение на горните обстоятелства.
С оглед изразяване на становище по изложения казус, следва да се анализира практиката на КЗЛД при решаването на аналогични жалби, с които физически лица са сезирали Комисията за нарушаване на правата им по закона за защита на личните данни (ЗЗЛД).
За обективната преценка на ситуацията е необходимо да се вземе предвид и практиката на съда, в случаите, в които решенията на КЗЛД са обжалвани по съдебен ред.

По първия въпрос от искането за становище:
ЗЗЛД се прилага за защита на правата на физическите лица при обработването на техните лични данни от лица, имащи качеството администратори на лични данни по смисъла на чл.3 от ЗЗЛД, т.е. наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимостта на разглеждане на жалбата пред Комисията.
При стартиране на административното производство пред КЗЛД, задължително се извършва справка в Регистъра на администраторите на лични данни и на водените от тях регистри за установяване на обстоятелството дали съответното дружество е вписано в Регистъра и съответно поддържането на какви регистри е заявило.
Статистиката на досегашната практика показва, че всички дружества с предмет на дейност „Събиране на парични вземания”, които са били страни в административните производства пред КЗЛД по повод на подадени жалби от граждани, са изпълнили задължението си за регистрация в Регистъра на администраторите.
Важен момент, който следва да се има предвид е и обстоятелството, че Регистърът на администраторите е публичен и всеки може да направи безплатна справка относно вписани обстоятелства, касаещи администраторите на лични данни. Това може да се извърши чрез системата еРАЛД, която автоматизира цялостната дейност на администрацията на КЗЛД в процеса на регистрация на администраторите.
еРАЛД е уеб базирано приложение, обхващащо цялостната дейност по регистрацията на администраторите на лични данни и проследява технологичния процес по одобрение или отказ на вписването им в публичния регистър. Системата позволява поддържането на публични регистри за вписаните администратори, освободените от задължението от регистрация администратори и такива, на които им е било отказано вписване в Регистъра на КЗЛД. И трите регистъра с информацията в тях са публични и достъпни в интернет пространството чрез web страницата на КЗЛД.

По втория, третия и четвъртия  въпрос от искането за становище:
В последните години (2011г. и 2012г. ) практиката на Комисията показва, че все повече граждани отправят запитвания относно това, дали е законосъобразно да бъдат предоставяни лични данни на потребители/абонати на трети лица с цел събиране на неизплатени задължения.
Нарастват и жалбите на физически лица, които са сезирали Комисията за това, че съответни кредитори са предоставили личните им данни на фирми за събиране на задължения.
Основният акцент на поставения въпрос, това е „знанието и съгласието” на съответното физическо лице негови лични данни да бъдат предоставени от съответния кредитор (мобилен оператор, електроразпределително, топлофикационно или ВиК дружество, банка и т.н.) на търговско дружество с предмет на дейност „Събиране на парични вземания”.
Съгласието на лицата техни лични данни да бъдат обработвани от даден администратор е един от най-важните аспекти на защитата на личните данни и гаранция за правомерно обработване на данните. Въпросът за съгласието е много дискутиран и на ниво Европейски съюз, като една от бъдещите промени в европейската правна рамка се очаква да бъде именно по отношение на формата и начина на доказване, че едно лице действително е дало съгласието си.
Към настоящия момент, при извършване на преценка относно обстоятелството дали има предоставено съгласие, КЗЛД преценява чрез използване на валидните правни механизми, а именно: наличие на писмени доказателства, подписани от съответното физическо лице – договори или писмени декларации.
Въпросите, които КЗЛД изследва при решаването на жалби срещу кредитори, предоставили данни за своите длъжници, на фирми за събиране на задължения, са няколко:
- На първо място е въпросът дали възлагането на обработката и използването на личните данни на нередовните длъжници от фирмите-кредитори на фирмите за събиране на задължения е въз основа на валидно правно основание, например писмен договор;
 - Предоставянето на личните данни на длъжниците станало ли е с тяхното знание и предварително съгласие;
 - Попада ли конкретното физическо лице в групата на клиентите на фирмата-кредитор, за които има основание да се предоставят личните му данни на дружество за събиране на вземания, т.е. има ли неизплатени задължения към фирмата-кредитор;
- Предоставянето на личните данни на лицето надхвърля ли целите, за които те са събрани и обработвани от фирмата-кредитор в качеството на администратор на лични данни.

Във всички Решения на Комисията са изследвани посочените въпроси, за което от страните по жалбите са изискани съответните доказателства. Най-общо изводите, които могат да се направят са следните:
1.    Съгласно чл.24, ал.1, изр.1 от ЗЗЛД, "Администраторът може да обработва данните сам или чрез възлагане на обработващ данните". В чл.24, ал.4 от ЗЗЛД е уредено, че "Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните". В разглежданите пред Комисията случаи фирмите-кредитори в качеството на администратори на лични данни представят доказателства за сключени писмени договори с фирмите за събиране на вземания. В посочената хипотеза фирмите за събиране на вземания действат в качеството на „Обработващ личните данни” на неизправните длъжници на фирмите-кредитори. В представените пред Комисията писмени договори е определен обемът на задълженията на фирмите за събиране на вземания, възложени им от фирмите-кредитори.
2.    Фирмите-кредитори предоставят личните данни на клиентите-длъжници на фирми за събиране на вземания след предварително знание и писмено съгласие на клиентите-физически лица. Това се извършва чрез включване на текстове в Общите условия на фирмите, които се представят за запознаване на клиентите при подписването на индивидуалните договори с тях. Общите условия са неразделна част от индивидуалните договори, като при подписване на договорите, на клиента се представя и екземпляр от Общите условия. Също така, в конкретните индивидуални договори се включват текстове, в които се определя целта, за която данните на клиента могат да се предоставят на трети лица, а именно събиране на вземания, дължими по договора.
Посочените обстоятелства са установени в административните производства пред Комисията, развити по повод жалби на граждани срещу:
- „М.” ЕАД като фирма-кредитор, предоставила данни на длъжници, на дружеството „К.Б.” ЕООД в качеството на обработващ лични данни от името на администратора;
- „К.Б.М.” ЕАД като фирма-кредитор, предоставила данни на длъжници, на дружеството „С.Г.Г.” ООД в качеството на обработващ лични данни от името на администратора;
- „С.В.” АД като фирма-кредитор, предоставила данни на длъжници, на дружеството „Е.М.” ООД в качеството на обработващ лични данни от името на администратора;
- „Е.ОН Б.П.” АД като фирма-кредитор, предоставила данни на длъжници, на дружеството „К.Б.К.М.С.” ЕООД в качеството на обработващ лични данни от името на администратора.
3. Важен въпрос, който КЗЛД изследва при постановяване на решенията си, е дали от безспорни доказателства може да се приеме, че физическите лица, чиито данни са предоставени на фирми за събиране на вземания, попадат в групата от абонати, дължащи неизплатени суми на фирмите-кредитори. Това се установява от документи в писмена форма – издадени фактури за дължими суми.
4. Относно въпроса предоставянето на личните данни на клиенти-длъжници надхвърля ли целите, за които те са събрани и обработвани от фирмите-кредитори в качеството им на администратори на лични данни, в производствата пред Комисията това следва да бъде безспорно установено. От доказателствата във връзка с жалбите се установява, че клиентите-длъжници освен, че са дали съгласие за предоставяне на личните им данни на трети лица, но също и за определена цел – събиране на вземания по договорите с фирмите-кредитори. Това условие фигурира в Общите условия на фирмите, срещу които са разглеждани жалби пред КЗЛД, а също и в текстовете на индивидуалните договори с клиентите. В конкретните случаи Комисията е установила, че личните данни на клиентите-длъжници са предоставени от фирмите-кредитори на фирми за събиране на вземания. Това е извършено във връзка с дължими суми по сключени индивидуални договори с фирмите-кредитори, т.е. обработването на личните данни на клиентите-длъжници от фирми за събиране на вземания не надхвърля целите, заложени в индивидуалните договори, както и договорите между фирмите-кредитори и фирмите за събиране на вземания.
При разглеждане на жалбите, Комисията е длъжна да следи дали личните данни са обработени при спазване на принципите, залегнали в чл.2, ал.2 от ЗЗЛД, а именно: дали са обработени законосъобразно, дали са събрани за конкретни, точно определени и законни цели и дали не се обработват допълнително по начин, несъвместим с целите. По преписките не са събрани доказателства, че данните са използвани непропорционално по отношение на целите, за които са събрани, а именно възмездно предоставяне на услуги, за които се дължат определени парични суми.
Също така КЗЛД следва да установи и дали са спазени разпоредбите на чл.4, ал.1 от ЗЗЛД, където са посочени алтернативни предпоставки за законосъобразното обработване на лични данни. Текстът урежда случаите на допустимост на обработката на лични данни на друго лице. Релевантни за изложената хипотеза са нормите на чл.4, ал.1, т.2 и 3 от ЗЗЛД, т.е. наличие на предварително даденото писмено съгласие на клиентите за обработката на личните им данни от трето лице за конкретна цел - събиране на вземания, дължими по договор.
Посочената в настоящото изложение практика на КЗЛД се потвърждава и от решенията на Върховния административен съд и Административен съд-София, в случаите, в които решенията на Комисията са обжалвани пред съда.
В постоянната си практика съдът излага мотиви за законосъобразност на действията на фирмите-кредитори в случаите, в които предоставят данни на длъжници на фирми за събиране на вземания при наличие на условията, анализирани в отговорите на поставените въпроси.

По петия  въпрос от искането за становище:
В административните производства Комисията задължително изисква от фирмите-кредитори и фирмите за събиране на вземания представяне на доказателства за наличие на валидно правно основание за обработване на личните данни, а именно действащи договори.  В някои от производствата пред КЗЛД администраторите не са предоставили изисканите доказателства, за което Комисията е наложила административна санкция в размер на 5 000 лв. на фирмата-кредитор и 15 000 лева на фирмата за събиране на вземания. Решението на КЗЛД е обжалвано пред Върховния административен съд, който с Решение № 10607 от 15.07.2011г. по адм. дело № 3968/2011 год., V отделение на ВАС е отменил Решението на КЗЛД. Мотивите на съда са предвид обстоятелството, че администраторът на лични данни е предоставил на съдебната инстанция необходимите доказателства в подкрепа на това, че отношенията му с обработващия лични данни са уредени с договор, в който е определен обемът на задълженията, които администраторът на лични данни е възложил на обработващия, както и доказателства за наличието на правно основание по чл.4, ал.1 от ЗЗЛД за допустимостта на обработването на лични данни. В този конкретен случай администраторът на лични данни не е изпълнил указанията на административния орган за представяне на посочените доказателства, които засягат негов правен интерес в рамките на административното производство.
С друго решение, Комисията налага административна санкция на фирма-кредитор в размер на 2 500 лева за това, че в административното производство е установено, че фактурата, представена като доказателство за дължими суми от страна на клиент е издадена през 2008 год., а фирмата-кредитор е предоставила данните на фирмата за събиране на вземания едва през 2011 год. КЗЛД в решението си приема, че с това е нарушен принципа, залегнал в чл.2, ал.2 от ЗЗЛД, личните данни да се обработват законосъобразно. Следствие от нарушението на принципа за законосъобразност при обработването на лични данни е констатирано и нарушение на разпоредбата на чл.23 от ЗЗЛД, изразяващо се в непредприемането на необходимите технически и организационни мерки за защита на личните данни от незаконни форми на обработване, а именно нарушаване на принципа на законосъобразност.
Цитираното решение на КЗЛД е отменено с Решение № 4188/19.07.2012 год. на Административен съд София-град. В мотивите си съда не приема изводите на КЗЛД, че администраторът на лични данни е извършил административно нарушение, затова че не е предприел всички технически и организационни мерки за защита на личните данни, с което е допуснал свързаните с физическо лице-клиент лични данни да бъдат обработени незаконосъобразно. Комисията свързва неправомерността на обработването с незаконосъобразното издаване на фактура, извън сроковете, посочени в закона. Съдът приема, че КЗЛД няма компетентност да постанови дали процесната фактура е издадена в срок, а единственото й правомощие е да извърши преценка дали при обработването на личните данни на физическото лице-жалбоподател са допуснати нарушения на ЗЗЛД.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното 
СТАНОВИЩЕ:
1. Дружествата с предмет на дейност „Събиране на парични вземания”, които са били страни в административните производства пред КЗЛД по повод на подадени жалби от граждани, са изпълнили задължението си за регистрация в Регистъра на администраторите.
2. Прехвърлянето на лични данни между кредитори и търговски дружества с дейност по НКИД „Събиране на парични вземания” е допустимо при наличие на предварително знание и писмено съгласие на клиентите-физически лица.
3. Лични данни на физически лица е допустимо да се използват от търговци, действащи в качеството на обработващ лични данни от името на администратора, при наличие на условията на чл.24, ал.4 от ЗЗЛД, а именно: наличие на писмени договори между фирмите-кредитори и фирмите за събиране на вземания. Също така конкретните физически лица следва да бъдат предварително уведомени за целите, за които данните им могат да бъдат предоставени на трети лица, а също и да бъде получено съгласието им за това. Едновременно с посоченото, е необходимо да е налице изискуемо и неизплатено задължение, както и личните данни да са предоставени единствено с цел събиране на вземането.
4. Позоваването на информация от други търговци за идентифициране на физически лица е недопустимо без знанието и съгласието на конкретното физическо лице.
5. За нарушение на посочените в т.1-4 обстоятелства, Комисията за защита на личните данни е оправомощена да налага съответните административни наказания.

ПРЕДСЕДАТЕЛ:                                       ЧЛЕНОВЕ:
            Венета Шопова /п/                               Красимир Димитров /п/
                                                                            Валентин Енев /п/
                                                                            Мария Матева /п/
                                                                            Веселин Целков /п/