Дарина Палова, ПДИ
Дарина Палова
Дарина Палова

На 28 януари 2016 за единадесета поредна година бе отбелязан Международният ден за защита на личните данни. На този ден преди 35 години е приета Конвенция №108 на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни. Денят за защита на личните данни има за цел да ни напомни колко е важно съществуването на законови механизми за защита на личните данни, а също, че често от нас и нашата степен на информираност зависи дали ще успеем да работим и живеем относително спокойно в забързания технологичен свят, в който обменът на данни често става по-лесно и скоростно от прибирането ни вкъщи след работа. Сигурна съм, че с годините все повече хора си дават сметка какви лични данни, свързани с тях, се събират и обработват и защо, както и какви са техните права по отношение на това обработване. Почти всеки ден се сблъскваме с подобни въпроси – на работното ни място, при работа с банки, здравни заведения и държавни органи, при покупка на стоки или услуги, при организиране на пътуване или при сърфиране в интернет. Ясно е, че колкото повече знаем за опасностите и нарушенията на правото на защита на личните данни, толкова по-добре, защото границата на личното ни пространство е непрестанно и неуморно атакувана. За щяло и нещяло.

 

Случай

 

Работя в голяма фирма, в която доскоро ни допускаха чрез система с магнитни карти. Новата идея на ръководството, която достигна до нас, е че ще се въвежда режим за допускане чрез пръстови отпечатъци, което ме притеснява. Струва ми се прекалено. Длъжна ли съм да предоставя такива данни и въобще законно ли е това?  Д.Д.  София

 

Все повече работодатели решават да прибегнат до използването на такава система за пропускане на служителите си, което резонно провокира множество въпроси у потърпевшите. През миналата есен в публичното пространство беше оповестена дори идея на здравния министър за въвеждане на пръстови идентификатори при приемане на пациенти в болница, а също и при закупуване на лекарства в аптека. Това предизвика широк дебат, в който се чуха различни мнения, оформящи вечните полюси „за“ и „против“ с категорични и безспорни според защитниците им тези. В медиите бяха публикувани коментари на представители на Комисията за защита на личните данни, според които използването на подобни пръстови идентификатори по-скоро ще бъде прекомерно, т.е. целта няма да оправдае средствата. Именно около въпросът за мярата при използването на лични данни се крият и повечето отговори при този вид казуси.

 

Правна уредба

 

В случая става въпрос за обработване на т.нар. биометрични данни, чиято дефиниция е регламентирана в § 1, т. 16 от Допълнителните разпоредби на Закона за българските лични документи. Според нея това са изображението на лицето на гражданина и пръстовите му отпечатъци, които се използват за разпознаване и проверка на заявена самоличност. Биометричните данни попадат в обхвата на понятието лични данни по смисъла на чл. 2, ал. 1 на Закона за защита на личните данни, следователно спрямо такива данни е необходимо да бъдат прилагани и спазвани основните принципи относно обработването на лични данни. Това означава, че администраторът на данни носи отговорност в няколко посоки: събиране на данни за конкретни, точно определени и законни цели; същите да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват, както и заличаване и коригиране в случай на непропорционалност по отношение на целите, за които се обработват. От постъпващите в ПДИ случаи на нарушения на правото на защита на личните данни, а и от практиката на Комисията за защита на личните данни, е видно, че сред най-честите нарушения на администраторите на данни е именно това, че събират и обработват повече данни, отколкото са им необходими или данни неотносими към целите на събиране. Какво означава данните да са непропорционални на целите на обработването на човешки език: например да отида да сключа договор с мобилен оператор, за да ползвам съответната услуга, която той предлага и да ми поискат освен обичайните лични данни като ЕГН, имена, № на лична карта и адрес, информация за здравословното състояние или нотариален акт, че съм собственик на жилището, в което живея. Същата в случая не е относима към целта на обработване на данните –  сключване на договор и ползване на предоставяната от фирмата услуга. Преди няколко години на страниците на в.”Труд“ излезе публикация за въвеждането на „иновативна практика“ от тогавашния кмет на град Божурище - публикуване в общинския вестник на имена и лични данни на жители на града във връзка с извършени от тях нарушения. В продължение на няколко месеца в него, освен обичайните дописки, хората от града можели да прочетат и какви нарушения са направили техните съграждани.

 

В рубриката "Налага се да бъдем безкомпромисни" по решение на градоначалника се публикувала информация за различни нарушения като например, че кръчмата на гражданина Е. е работила незаконно след полунощ, а пък гражданинът З. поливал с питейна вода. Нарушителите са посочвани с три имена и адреси, на някои от тях са публикувани и ЕГН-тата. Макар на много хора тази практика да се е сторила симпатична, срещу кмета е подадена жалба в КЗЛД и впоследствие той е глобен, че покрай „полезното“ си дело не само е публикувал лични данни на граждани на Божурище, но е допуснал публикуване на данни в изобилие, ей така, да има. Все пак, в едно градче и трите имена на нарушителя щяха да разкрият на останалите кой е той...

 

Тук стигаме до въпроса дали събирането и обработването на биометрични данни за целите на проверка на влизащите и излизащите служители в една фирма е законно? А отговорът отново е свързан с това дали работодателят спазва принципа на пропорционално събиране на данни. Ако целта е засичането кой от служителите кога ходи на работа, то тя би могла да бъде постигната и по други начин, невключващ събиране на биометричните данни на работещите. Не ясно защо при положение, че от фирмата използват един от разпространените начини за пропускане на служителите си – с карта, ръководството прибягва до въвеждане на подобни драстични мерки. При всички случаи използването на пръстови отпечатъци е сериозна намеса в личната сфера на служителите, която не може да бъде толерирана. Едно е пръстови отпечатъци да се използват за целите на разследване на извършени престъпления и съвсем различно, за да може един служител да отиде до работното си място. Нещо повече, биометричните данни са сред т.нар. чувствителни лични данни, чието обработване е изрично забранено в Закона за защита на личните данни. Чувствителни лични данни са например тези, които включват информация за расов или етнически произход; политически, религиозни, или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели; данни, които се отнасят до здравето, сексуалния живот или човешкия геном. Заобикалянето на тази забрана може да стане само и единствено с получаване на изричното съгласие на лицето, за което се отнасят. Което отговаря и на втория въпрос: нямате задължение да дадете съгласието си, т.е. имате право да откажете.

 

В заключение е важно да отбележим, че темата за използването на биометрични данни вълнува хората навсякъде по света.  Преди няколко години беше създаден т.нар Алианс „Долу ръцете от биометричните данни”[1], който инициира петиция срещу използването на биометрични данни на гражданите. Алиансът изпрати призив до главния секретар на Съвета на Европа Торбьорн Ягландс да използва правомощията си по чл. 52 от Европейската конвенция за правата на човека и да поиска обяснение от държавите, в които се събират и съхраняват биометрични данни на гражданите, дали националните закони са в съответствие с Конвенцията и практиката на Европейския съд по правата на човека. Инициативата на Алианса, подкрепена от международната организация за защита на личната неприкосновеност Privacy International беше предизвикана от разпространяващата се практика в европейски държави да се събират и съхраняват биометричните данни на гражданите.

 

Практика на Комисията за защита на личните данни  

 

От 2011 досега има няколко произнасяния на Комисията за защита на личните данни по искания за становище по темата. Ето резюме на две от по-интересните от тях.

 

Становище №10/2011 от 10 март 2011 по искане на Многопрофилна болница за активно лечение “Д-р Братан Шукеров” АД – гр.Смолян за изразяване на становище от КЗЛД относно въвеждане на система за контрол на работното време, чрез снемане на произволни точки от пръстов отпечатък на служителите. Комисията стига до заключение, че единственото правно основание за допустимост на обработване на лични данни чрез сканиране на произволни точки от пръстов отпечатък на служителите в болничното заведение, е наличие на изрично съгласие за това, при предварително информиране за целите на обработване; получателите или категориите получатели, на които могат да бъдат разкрити данните; правото на достъп и правото на заличаване, коригиране или блокиране на събраните данни.

 

Становище с рег. №П-5528/2012 от 11 декември 2012  по искане на „АЛКОМЕТ”АД относно въвеждане на пропускателна система чрез четец на венокод от пръст на ръката на физически лица.

 

В становището си Комисията посочва, че изложените от представляващите дружеството мотиви за въвеждане на система за контрол на достъп и работно време с цел повишаване на трудовата дисциплина, както и избягване на кражби и нерегламентиран достъп в сградите и работните помещения са относими към трудово-правните отношения. Работодателят разполага с други механизми за контрол и проследяване на трудовия процес, без да се налага използването на крайни мерки за контролиране на работниците и служителите. Целите, за които ще се въведе системата за достъп чрез венокод, не могат да се определят като пропорционални на необходимостта от повишаване на сигурността и предотвратяването на кражби, тъй като те не могат да бъдат постигнати, без да се засяга изключително личната сфера на работещите в “АЛКОМЕТ” АД.

 

Необходимостта от повишаване сигурността в сградите, където протича работния процес и предотвратяването на посегателства върху имуществото на фирмата са значими обществени проблеми, но в конкретно разглеждания казус не може да се приеме, че законните интереси на администратора имат преимущество пред интересите на отделните физически лица, чиято лична сфера ще бъде сериозно нарушена (чл.4, ал.1,т.7 от ЗЗЛД). В заключение Комисията стига да извод, че обработването на лични данни чрез сканиране на вени посредством контрастно изображение на мрежата от вени на фона на всички останали слоеве тъкани от пръста на ръката на физически лица противоречи на принципите на адекватност и пропорционалност, заложени в Закона за защита на личните данни.



[1]    Повече по темата можете да прочетете в Информационен бюлетин на ПДИ,  Брой 2(86), 2011.  

© 2016 Програма Достъп до Информация
Материалите в Информационния бюлетин на Програма Достъп до Информация са обект на авторско право.
При цитиране позоваването на източника е задължително.