Информационен бюлетин
Брой 7, м. юли 2004
Случай на месеца
Голям масив от лични данни ще събира Shell SMART
и ще ги прехвърля на друг администратор. Това се съобщава в текста на
рекламната дипляна, която получават този месец абонати на GloBul. Те са
поканени да участват в програмата за събиране на SMART точки. От клиентите
на оператора се искат данни като ЕГН, три имена, номера на домашни и мобилни
телефони, електронни адреси, професия, доходи. Призовани са да дадат съгласие
с подпис за прехвърляне на личните им данни на друг администратор за целите
на програмата, информира координаторът на ПДИ в Кърджали Вълчо Милчев
Случаи като този вече не са рядкост. Различни производители на стоки, вериги магазини, телевизионни състезания и т.н. непрекъснато ни приканват да участваме в най-разнообразни игри, лотарии, томболи с обещания за печалби и подаръци. Почти винаги, за да участваме в подобна игра изпращаме до организатора - кога повече, кога по-малко - данни за нас. В това, разбира се, няма нищо лошо, стига да сме сигурни, че предварително обявените правила на въпросните игри действително ще се спазват и че предоставените от нас данни ще се използват единствено, за да бъде идентифициран без съмнение печелившият участник. Не е тайна, че често пъти след участие в подобна игра сме засипвани с рекламни брошури, предложения за кредити или покупка на нови стоки и какво ли още не. Нарушава ли се по тази начин правото на защита на личните ни данни, можем ли да се предпазим и по какъв начин, длъжни ли са организаторите на подобни игри да спазват някакви правила за защита на данните ни и какви са те. В този коментар ще се опитаме да отговорим на тези въпроси.
Описаните случаи се отнасят до изпълнението на изискванията на Закона за защита на личните данни (ЗЗЛД) към лицата, които събират и обработват лични данни. Законът ги нарича администратори на данни. В редица случаи от ежедневието се налага гражданите да предоставят данните си на различни институции, държавни органи или частно-правни лица - банки, застрахователи, търговци, лекари и т.н. Това е необходимо, за да може да получават услуги, справки, удостоверения, да упражняват правата си по различни договори и т.н.
Във всички случаи администраторите на данни трябва да спазват следните
правила:
1. Да събират лични данни единствено със знанието и съгласието на лицата.
2. Да събират само толкова данни, колкото са им необходими, за да извършат
услугата или дейността, за която всъщност са събрани данните.
3. Да съхраняват данните достатъчно надеждно и да не ги предоставят на
други администратори без знание и съгласие на лицата.
4. Да предоставят достъп до данните на лицата винаги при поискване от
тяхна страна.
5. След изпълнение на дейността за която са събрани данните, да унищожат
данните или да ги превърнат в анонимни.
Нека да разгледаме представения казус през призмата на изброените правила.
Както се вижда имаме двама администратори на данни - частно правни лица
- търговци:
А) Shell - фирма търговец на горива, която събира данни за клиентите си
само в случаите, в които самите клиенти доброволно се съгласяват да ги
предоставят, за да могат да се ползват от добре познатите "Смарт
карти".
Б) GloBul - мобилен оператор, който събира данни за клиентите си, за да
може:
- да предоставя точно услугите на клиентите си;
- да събира вземанията си от предоставените телефонни услуги.
В случая трябва да се отбележи, че тези двама администратори
събират лични данни единствено ако клиентите им ги предоставят доброволно
(а не задължително, по силата на нормативно задължение, например).
Да се върнем към правилата на ЗЗЛД за администраторите:
1. Да събират лични данни единствено със знанието
и съгласието на лицата. Доколкото ни е известна практиката и на
двамата администратори, това правило се спазва. Ще подчертаем само, че
администраторите следва да разясняват на клиентите си за какво са необходими
събраните лични данни и как ще бъдат съхранявани и използвани. Това може
да бъде направено в сключения между фирмата и лицето клиентски договор.
2. Да събират само толкова данни, колкото са им необходими,
за да извършат услугата или дейността, за която всъщност са събрани данните.
И двамата администратори следва да събират ограничен брой лични данни
на лицата, необходими им да идентифицират точно клиентите си и да им предоставят
адекватно предлаганите услуги. Това са обикновено три имена, адрес и допълнителен
идентификатор (ЕГН или номер на личната карта - считаме, че е излишно
да се изискват едновременно и двата номера). Евентуалното изискване за
предоставяне на копие от личната карта естествено е излишно и противоречи
на закона.
3. Да съхраняват данните достатъчно надеждно и да
не ги предоставят на други администратори без знание и съгласие на лицата.
Вероятно и двамата администратори, независимо един от друг, притежават
подобни данни за клиентите си. Независимо от това обменът на лични данни
между администраторите може да бъде осъществен само след съгласието на
клиентите. Ето защо, практиката на двамата администратори в този случай
е напълно в рамките на изискванията на ЗЗЛД.
Трябва да кажем, че това е един от малкото известни ни случаи, в които
администратори на данни прехвърлят помежду си лични данни на свои клиенти
едва след изричното им писмено съгласие.
4. След изпълнение на дейността за която са събрани
данните, да унищожат данните или да ги превърнат в анонимни.
Това означава:
А) За Shell - след изчерпване на възможностите на клиента да ползва услугите
на т.нар. "Смарт карта", данните му, съхранявани от търговеца,
да се унищожат.
Б) За GloBul - след прекратяването на договора с клиента на едно или друго
основание, данните за клиента следва да се унищожат или да се анонимизират
и да останат евентуално за някакви статистически сведения на мобилния
оператор.
Коментар: Фани Давидова
НАЧАЛО | ПДИ | ЗДОИ | НОРМАТИВНА УРЕДБА | ПРАВНА ПОМОЩ | ОБУЧЕНИЯ | ПРЕДСТОЯЩО | ПУБЛИКАЦИИ | ВЪПРОСИ | ВРЪЗКИ | ТЪРСИ
Българска версия • Последно обновяване: 30.07.2004 • © 1999 Copyright by Interia & AIP