Наложихме 737 000 лв. глоби за нарушения с лични данни за година

Венцислав Караджов, председател на Комисията за защита на личните данни: Съседи се оплакват от видеонаблюдение

МАРИЯ КАДИЙСКАТА - четвъртък, 28-04-2016 - 19:27

ВИЗИТКА:

Роден е на 15 януари 1972 г. в Бургас

 Магистър по право от СУ “Св. Климент Охридски”

Започнал е кариерата си като юрист в неправителствения сектор, работил е като старши консултант по международни проекти за борба с корупцията, превенция на конфликт на интереси в държавната администрация и утвърждаване върховенството на закона.

Член на ЦИК в периода април 2011 ­ март 2014 г.

Главен експертен сътрудник в комисията за контрол на СРС в 41-вото и 42-рото народно събрание

Председател на Комисията за защита на личните данни от 15 април 2014 г.

 

 

- Г-н Караджов, какви са най-честите сигнали за злоупотреба с лични данни, които получавате?

- Най-често срещани са сигналите относно обработване на лични данни на физически лица, без да е искано тяхното съгласие. В други случаи имаме дадено такова съгласие пред определен администратор, но впоследствие тези данни незаконосъобразно са предоставени от него на трети лица, обичайно това е друго дружество, които ги използват за друга, своя цел. Често са подавани сигнали срещу дружества, които обработват лични данни на различни категории физически лица, без да имат регистрация в КЗЛД или ги обработват за целите на регистър, който не са заявили. Тенденция на увеличение имаме при сигналите относно извършвано видеонаблюдение в частни имоти - както при тези в етажна собственост, така и в самостоятелни къщи и терени, с които се засягат права на лица, съседни на посочените. Увеличават се сигналите с искания комисията да установи кой разпространява в интернет личните им данни без тяхно съгласие и откъде те са придобити, респективно искат да се премахне тази информация.

- Какво прави комисията в тези случаи и колко проверки сте извършили?

- По всеки сигнал или запитване, постъпили в КЗЛД, се извършва проверка – по документи или на място. Когато се установи нарушение на ЗЗЛД, КЗЛД издава задължително предписание или санкционира с налагане на глоби. За 2015 г. са подадени 176 сигнала, отделно от жалбите. На 107 от тези сигнали са извършени проверки по документи или са препратени по компетентност, на 53 са извършени проверки на място и са съставени 20 акта за установяване на административно нарушение и са издадени 12 задължителни предписания. Наложените санкции са в размер на 23 600 лв. От началото на 2016 г. са подадени 69 сигнала – на 26 са извършени проверки по документи или са препратени по компетентност, на 17 са извършени проверки на място и са съставени 10 акта за установяване на административно нарушение и са издадени 3 задължителни предписания. Наложени са санкции в размер на 18 000 лв. За 2015 г. са наложени санкции общо в размер 737 600 лева, а за първите 4 месеца на 2016 г. 143 400 лева.

- Кои са най-масовите нарушители?

- Често постъпват сигнали срещу търговски дружества, които не са изпълнили задължението си за първоначална регистрация или последваща актуализация, преди да започнат обработване на различни категории лични данни или категории физически лица – персонал, клиенти, пациенти, контрагенти и др.

- Как си обяснявате факта, че както писа „Монитор“, от 2 години в комисията не са постъпвали сигнали за търговия с лични данни?

- Не мога да преценя причините. Вероятно, от една страна, гражданите нямат достатъчно информация за конкретни нарушения или не желаят да бъдат ангажирани в бъдещ административен процес при подаване на подобен сигнал. От друга, често констатиран проблем в подадените сигнали и жалби е възприятието за „търговия с лични данни“ и твърденията за „продажба“ на лични данни, когато определени граждани не желаят да заплатят използвани услуги от фирми, с които имат сключени договори за комунални услуги, необслужвани кредити или незаплатени услуги към телекомуникационни оператори или кабелна телевизия. В тези случай фирмите търсят възможности за събиране на неплатените услуги, за които самите физически лица са поели задължение да ги платят и при неплащане в срок са предоставили съгласие личните им данни в обем – три имена, адрес и телефон, да бъдат предоставени на трети физически или юридически лица с цел събиране на неплатеното. В конкретните случаи нямаме продажба на лични данни, а обработване на лични данни при наличие на предварително дадено съгласие и законно право на фирмите да защитят търговските си интереси. Разбира се, ако обработването е в нарушение на закона, комисията за защита на лични данни санкционира това противоправно поведение на фирмите и доказателство за това са наложените за 2015 имуществени санкции в размер на 445 700 лева. Често срещани възражения по този повод са действия на фирмите за събиране на задължения, които гражданите считат за стари и с изтекла давност. В тези случаи гражданите трябва да са наясно, че изтеклата давност не е пречка да се поиска тяхното заплащане, а възражението за давност може да се направи само пред съд, не и пред административен орган, какъвто е Комисията за защита на лични данни.

- Проверявали ли сте случаи, в които мобилни оператори дават лични данни на свои клиенти длъжници на колекторски фирми? Носят ли те отговорност за това?

- До Комисията за защита на личните данни (КЗЛД) многократно са постъпвали жалби и запитвания от подобен характер. По този повод са извършвани проверки, в резултат на които се установява, че „знанието и съгласието” на съответното физическо лице е акцентът в поставения въпрос. Съгласно Закона за защита на личните данни (ЗЗЛД) "Администраторът може да обработва данните сам или чрез възлагане на обработващ данните". Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните. В разглежданите пред комисията случаи фирмите кредитори (мобилните оператори) в качеството на администратори на лични данни представят доказателства за сключени писмени договори с фирмите за събиране на вземания. В посочената хипотеза фирмите за събиране на вземания действат в качеството на „Обработващ личните данни” на неизправните длъжници на фирмите кредитори. В представените пред комисията писмени договори е определен обемът на задълженията на фирмите за събиране на вземания, възложени им от фирмите кредитори. Обикновено фирмите кредитори предоставят личните данни на клиентите длъжници на фирми за събиране на вземания след предварително знание и писмено съгласие на клиентите физически лица. Това се извършва чрез включване на текстове в общите условия на фирмите, които се представят за запознаване на клиентите при подписването на индивидуалните договори с тях. Общите условия са неразделна част от индивидуалните договори, като при подписване на договорите, на клиента се представя и екземпляр от общите условия. Също така в конкретните индивидуални договори се включват текстове, в които се определя целта, за която данните на клиента могат да се предоставят на трети лица, а именно събиране на вземания, дължими по договора. Необходимо е да бъде направена справка в договора, който е сключен с мобилния оператор, и да се уточни дали той е изпълнил изискванията на закона, и включена ли е клауза в договора или в общите условия, които са неразделна част от него, за предоставяне на личните данни на клиентите длъжници на фирми за събиране на вземания. В случай че такава клауза съществува, договорът е подписан от клиента, това означава, че тези условия се приемат и клиентът се е съгласил с така подписания договор и общи условия, които са неразделна част от него. Изрично чрез поставения подпис е декларирано знанието и съгласието с клаузите в договора и общите условия към него.

- Електронните пощи без друга идентификационна информация не са лични данни, но хакери ги крадат и после продават на пакети. Съдейства ли ви ГДБОП за установяване на хората, които предлагат за продажба тези бази с електронни адреси? Може ли изобщо да се пресече тази напаст?

- Доколкото действията по придобиване и/или последващо разпореждане с електронни пощи се осъществява състав на  престъпление по смисъла на Глава девета „а” „Компютърни престъпления” от Наказателния кодекс, компетентни са органите на прокуратурата и Министерство на вътрешните работи. Сигналите за покупко-продажба на база данни с имейли в интернет бележат тенденция на увеличение през последните 3 години. Поради наличие на значим обществен интерес и необходимост от изясняване има ли извършени нарушения на ЗЗЛД и кои са неговите автори, КЗЛД предприема действия по идентифициране и установяване на лицата, предлагащи за продажба тези бази с лични данни. Разследванията сочат, че продавачите използват само електронни пощи за кореспонденция, което затруднява възможностите за идентификация и поради което КЗЛД иска съдействие или изпраща по компетентност на СДВР и ГДБОП тези сигнали. От получената информация е видно, че домейните са регистрирани и поддържани извън територията на страната от чужди граждани. Регистрацията на тези граждани е с непълен адрес и поради липсата на разследващи правомощия комисията не е в състояние да предприеме други последващи действия, които биха могли да ограничат или прекратят тази практика на продажба на бази данни с електронни пощи. Във връзка с така поставения въпрос е важно да се отбележи, че идентифициране на авторите на подобни продажби на бази данни може да се извърши само чрез „трафични данни“ на основание и по реда на Закона за електронните съобщения (ЗЕС и се прави единствено и само ако това е необходимо за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления). Законът определя кой може да отправя такова искане и основанията за това. За съжаление Комисията за защита на лични данни не е сред определените в закона държавни органи.

Във връзка с решение на Европейския съд в Люксембург, ви уведомяваме, че авторът на коментара под тази статия носи съдебна отговорност за послания, които са нецензурни, насаждат омраза, призовават към насилие или са клеветнически. При съгласието Ви, ние ще създадем бисквитка на компютърът ви,
която ще бъде запазена следващите 7 дни.