Защита на личните данни в комуникациите

Тайна на съобщенията и защита на личните данни в електронните комуникационни мрежи

Развитието на информационните и комуникационни технологии налага необходимостта от специфична правна уредба, която да защити основните човешки права на неприкосновеност на личния живот и свобода и тайна на кореспонденцията, без да се ограничава свободното движение и достъп до информация. Значителна стъпка в тази посока бе приемането на Закона за защита на личните данни (обн., ДВ, бр. 1 от 4 януари 2002 г.), с който бе регламентирана защитата на физическите лица при обработването на свързаните с тях лични данни и правото на достъп до събираните и обработвани такива данни. С приемането на Закона за защита на личните данни (ЗЗЛД) в българската правна система бяха имплементирани основните положения на Директива 46/95 на Европейската общност за защита на личността срещу обработка на лични данни и свободното движение на тези данни (Директива 46/95). Това направи възможно ратифицирането от Народното събрание на Конвенция 108 от 1981 г. на Съвета на Европа за защита на лицата при автоматизирана обработка на лични данни (обн., ДВ, бр. 26 от 21 март 2003 г.). С приемането на ЗЗЛД и ратифицирането и обнародването на Конвенция 108 от 1981 г. се целеше хармонизация на българското с европейското законодателство в областта на защита правата на човека и беше дадена общата правна рамка, уреждаща автоматизираната обработка и защитата на личните данни.

В края на 2003 г. бе приет новият Закон за далекосъобщенията (обн., ДВ, бр. 88 от 7 октомври 2003 г.), изработен в съответствие с Европейската рамка в областта на телекомуникациите към 1998-2000 г. Така за първи път в България се даде законова уредба на тайната на съобщенията и защитата на личните данни при осъществяване на далекосъобщенията. Новият Закон за далекосъобщенията (ЗД) запълни законодателния вакуум от липсата на нормативни изисквания за гарантиране тайната на съобщенията в специалната нормативна уредба за далекосъобщенията. В материята относно тайната на съобщенията и защитата на личните данни ЗД имплементира Директива 66/97 на ЕО за обработка на личните данни и защита на личния живот в областта на далекосъобщенията, която е директива от т. нар. стара рамка, действала в държавите членки на ЕО до средата на 2003 г.

Защита на личните данни по Конвенция 108 от 1981 г. и ЗЗДЛ

Конвенция 108 от 1981 г. (Конвенцията) и ЗЗЛД дават общата уредба относно защитата на личните данни и по-специално защитата на физическите лица от неправомерно обработване на лични данни. В тази връзка от съществено значение и за защитата на личните данни в електронните комуникационни мрежи са съдържащите се в Конвенцията и ЗЗЛД легални дефиниции на основни понятия, както и регламентацията на основните изисквания към съдържанието на личните данни, тяхната обработка и принципите за осъществяване на достъп до тях.

ЗЗЛД дава легална дефиниция за лични данни, а именно като "информация за физическото лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност". Тази дефиниция се различава от дефинициите на Конвенцията и на Директива 46/95 на ЕО, съгласно които "лични данни" са всяка информация относно определено или определяемо лице. Систематичното тълкуване налага извода, че използваният термин в ЗЗЛД следва да се тълкува разширително, като лични данни са всяка информация относно субекта на данните (физическото лице), посредством която същият може да бъде идентифициран, в това число и информация, която разкрива неговата физическа, психологическа, умствена, семейна, културна или обществена идентичност.

Друго основно понятие в ЗЗЛД е обработване на личните данни – "всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните".

Необходимо да се спрем и на още два принципни въпроса във връзка със защитата на личните данни, които са уредени в ЗЗЛД: какви лични данни могат да бъдат обработвани и при какви условия.

На първо място личните данни могат да бъдат обработвани само, когато са:

  • получени законосъобразно
  • събрани за определените в закон цели и се използват само за изпълнението им
  • съответстващи по обхват на целите, за които се обработват
  • точни и актуални
  • съхранени по начин, който позволява идентифициране на физическите лица само за период не по-дълъг от необходимия, съгласно целите, за които те се обработват.

Единствено данни, които отговарят на изброените по-горе изисквания могат да бъдат предмет на обработване, като такова обработване е допустимо само когато е налице поне едно от следните условия:

  • изпълнение на нормативно задължение;
  • изрично съгласие на физическото лице;
  • необходимост да се защити животът или здравето на физическото лице;
  • в изпълнение клаузите на договор между администратора на данните (чл. 3, ал. 1 ЗЗЛД) и физическото лице;
  • законен интерес на администратора на лични данни (чл. 3, ал. 1 ЗЗЛД), на трето лице или на лице, на което се разкриват данните и това не нарушава правото на защита по ЗЗЛД на съответното физическо лице.

Изясняването на посочените по-горе понятия, както и на основните изисквания към обработването на личните данни, е абсолютно необходимо и за разбиране на специалната уредба за защита на личните данни по ЗД. Това е така поради факта, че ЗД в частта си относно защитата на личните данни е специален закон по отношение на ЗЗЛД, където е дадена общата уредба.

Специална правна уредба по ЗД

Глава четиринадесета "Тайна на съобщенията и защита на личните данни при осъществяване на далекосъобщенията" на ЗД (обн., ДВ, бр. 88 от 7 октомври 2003 г.) като цяло имплементира в българското правна система Директива 66/97 за обработка на личните данни и защита на личния живот в областта на далекосъобщенията.

Стъпвайки върху основните понятия и принципи, регламентирани в ЗЗЛД, глава четиринадесета на ЗД, раздел "Защита на личните данни и данните на крайни потребители на далекосъобщителни услуги" съдържа само специалната уредба относно защитата на личните данни при осъществяване на далекосъобщенията. От друга страна, за разлика от предвиденото в ЗЗЛД, закрилата на личните данни по ЗД се отнася за всички крайни потребители на далекосъобщителните услуги, които могат да бъдат както физически, така и юридически лица. В тази си част законът предвижда редица нови задължения за обществените оператори, които осъществяват далекосъобщения и/или предоставят далекосъобщителни услуги чрез отворена електронна комуникационна мрежа и изисквания към дейността им.

Тайна на съобщенията по ЗД

Освен разпоредби относно защитата на личните данни, глава четиринадесета на ЗД съдържа и самостоятелен раздел – "Тайна на съобщенията", посветен изцяло на тайната на съобщенията. Всъщност именно тук българският законодател за първи път създава позитивна правна уредба за гарантиране на конституционно установените свобода и тайна на кореспонденцията и на другите съобщения (чл. 34, ал. 1 КРБ) при осъществяване на далекосъобщения и/или предоставяне на далекосъобщителни услуги чрез далекосъобщителни мрежи.

За разлика от стария Закон за далекосъобщенията, според който единствено в индивидуалните лицензии можеха да бъдат заложени изисквания за гарантиране тайната на съобщенията, сред основните цели на новия далекосъобщителен закон е посочено създаването на предпоставки за гарантиране на свободата и тайната на съобщенията (чл. 2, т. 2 ЗД). В тази връзка законът установява в чл. 193 задължение за всички обществени оператори "да гарантират тайната на съобщенията". Операторите следва да осигурят запазването на тайната на съобщенията както технически, така и организационно, като вземат всички необходими мерки за това. На следващо място е абсолютно недопустимо разпространяването от страна на операторите на съдържанието на съобщенията, което им е станало известно при предоставяне на далекосъобщителната услуга. Същото задължение имат и служителите на оператора, които имат достъп до съдържанието на съобщенията или биха получили такъв.

Допълнителна гаранция за запазване на тайната на съобщенията е и изискването при опасност от нарушаването й, операторите да уведомяват абонатите си за наличието на такава. Абонатите следва да бъдат информирани и за средствата и разходите за отстраняване на опасността от нарушаване на тайната. В съответствие с текста на Директива 66/97 на ЕО в чл. 196 ЗД българският законодател изрично установява забрана за "проследяването, записването и съхраняването на съобщения, предназначени за други лица, освен със съгласие на лицата, за които те са предназначени или когато това е предвидено в закон ".

За разлика от Директивата обаче в раздела относно тайната на съобщенията на българския далекосъобщителен закон липсва специална уредба за съобщенията, които са част от търговската комуникация на потребителите на комуникационни услуги. Член 5 на Директива 66/97 изключва от приложното поле на забраната за записване на съобщенията, аналогична на забраната по чл. 196 ЗД, каквото и да е правомерно записване на съобщения в процеса на законна бизнес практика с цел доказване на търговски сделки или каквато и да е друга бизнес комуникация. Това е празнина, която е необходимо в бъдеще да бъде преодоляна.

Същевременно законодателят разширява обхвата на глава четиринадесета, раздел I "Тайна на съобщенията" на ЗД като определя, че тайната на съобщенията включва не само съдържанието на самото съобщение, но и вида на далекосъобщителната услуга, както и всички данни, свързани с предоставяне на услугата (чл. 195, ал. 1 ЗД). В Директива 66/97 на ЕО липсва дефиниция за "тайна на съобщенията" или текст който да определя съдържанието й. Ето защо изясняването обхвата на тайната на съобщенията е свързано основно с изясняване смисъла на чл. 194, ал. 1 ЗД, съгласно който обществените оператори са длъжни да не разпространяват съдържанието на съобщенията, както и данните, свързани със съобщенията, които са им станали известни при предоставяне на далекосъобщителната услуга.

Данните, чието разпространение от операторите на комуникационни услуги е недопустимо съгласно чл. 194, ал. 1, несъмнено са в обхвата на тайната на съобщенията по чл. 195, ал. 1 ЗД и по-точно са част от "всички данни, свързани с предоставяне на услугата", но не ги изчерпват. Какво още обаче се включва във "всички данни, свързани с предоставяне на услугата" ?

Съгласно чл. 197, ал. 1 ЗД операторите могат "да събират, обработват и използват лични данни и данни за крайни потребители, когато те са предназначени за предоставяне на далекосъобщителна услуга". Тези "лични данни и данни за крайни потребители" обхващат данните, "пряко свързани с предоставянето на далекосъобщителните услуги", изброени в чл. 197, ал. 2 ЗД.

Както вече бе отбелязано, личните данни по смисъла на ЗЗЛД, които операторите събират, обработват и използват във връзка с предоставяните от тях далекосъобщителни услуги като цяло не следва да се включват в обхвата на тайната на съобщенията. Що се отнася до данните, "пряко свързани с предоставянето на далекосъобщителни услуги", то нерегламентираният достъп до тях без съмнение би създал опасност от нарушаване тайната на съобщенията В този смисъл данните, "пряко свързани с предоставянето на далекосъобщителни услуги" следва да се включват в съдържанието на данните "свързани с предоставяне на услугата" по чл. 195, ал. 1 ЗД. Съгласно чл. 197, ал. 2 това са данните, "необходими за предоставяне на далекосъобщителни услуги" – т. нар. "трафични данни", данните "необходими за разплащане при предоставяне на далекосъобщителни услуги и при формиране на абонатните сметки" и данни за "доказване на тяхната достоверност". Част от тези данни са и лични данни по смисъла на ЗЗЛД, но преди всичко са данни, пряко свързани с предоставяне на далекосъобщителни услуги. В списъка по чл. 197, ал. 2 е включен вида на услугата като информация, пряко свързана с предоставяне на далекосъобщителни услуги, а същевременно в чл. 195, ал. 1 е посочен като отделен, независим компонент от обхвата на тайната на съобщенията. В тази връзка буквалното тълкуване на чл. 195, ал. 1 в тази редакция би довела до извода, че в обхвата на тайната на съобщенията влизат съдържанието на съобщенията, вида на услугата от данните, пряко свързани с далекосъобщителни услуги и всички други данни, свързани с предоставянето на услугите извън данните, пряко свързани с далекосъобщителни услуги. Това ограничение обаче не следва да се тълкува твърде разширително и да се прилага по отношение на всяка информация, която операторът събира, обработва и използва за предоставяне на услугите – в противен случай неоправдано би се ограничила договорната свобода и би било невъзможно разпространяването от оператора на каквато и да е информация, която е събрал и обработил във връзка с предоставянето на далекосъобщителните услуги, въпреки съгласието на засегнатия краен потребител.

В заключение обхвата на тайната на съобщенията по чл. 195, ал. 1 ЗД е съдържанието на съобщението, всички данни, пряко свързани с предоставяне на услугата, в това число и вида на услугата и данните, които са свързани със съобщението и са станали известни на оператора при предоставяне на услугата. Необходимо е в новия Закон за електронните съобщения, който предстои да бъде приет до средата на следващата година, да се дефинира по-прецизно обхвата на тайната на съобщенията в съответствие с разпоредбите на Директива 2002/58 на ЕО. Така за в бъдеще закрилата на тайната на съобщенията следва да обхваща съдържанието на съобщенията и всички данни, необходими за осигуряване преноса на съобщението, формирането на сметката и разплащането във връзка с далекосъобщителната (електронната комуникационна) услуга.

Защита на личните данни по ЗД

Раздел II на глава четиринадесета на ЗД урежда режима на всички данни, които операторите събират, обработват и използват във връзка осъществяваните от тях комуникационни услуги чрез електронни комуникационни мрежи. Както е видно още от заглавието на раздела става въпрос основно за две категории данни – лични данни и други данни, свързани с далекосъобщителните услуги. Съгласно чл. 197, ал. 1 ЗД операторите имат право да "събират, обработват и използват лични данни и данни за крайни потребители, когато те са предназначени за предоставяне на далекосъобщителна услуга". В следващата алинея на чл. 197 законодателя изброява данните, "пряко свързани с предоставяне на далекосъобщителни услуги", които както бе изяснено по-горе биват трафични данни, данни необходими за таксуването на далекосъобщителните услуги и други изчерпателно изброени в т. 2 на алинея 2 данни. Вземайки предвид текста на чл. 198, ал. 1, който гласи: "Обществените оператори не могат да изискват от краен потребител повече данни от тези по чл. 197, ал. 2 за предоставяне на далекосъобщителни услуги.", би следвало изброяването в чл. 197, ал. 2 да е изчерпателно, но в действителност следва да се приеме, че изброяването е примерно. Така операторите могат да изискват от крайните потребители освен конкретно изброените в ал. 2 на чл. 197 данни и други данни, "необходими за изграждане и поддържане на повикването", всякакви данни, "необходими за формиране цените на повикванията", както и данните, "необходими за разплащане при предоставяне на далекосъобщителни услуги и при формиране на абонатните сметки, както и за доказване на тяхната достоверност". За съжаление обаче по отношение на някои конкретни категории данни изброяването в чл. 197, ал. 2 ЗД е изчерпателно и твърде ограничаващо. Особено сериозен е проблемът по отношение на информацията за абоната, която според настоящата уредба може да се изискват от операторите. В сегашната си редакция чл. 197, ал. 2, т. 2, б. "а" позволява на операторите да изискват от абонатите си единствено име и адрес. Подобно ограничение в значителна степен затруднява работата на операторите, тъй като не позволява събирането на достатъчно лични данни от абоната, необходими за идентифицирането му като например ЕГН и номер на лична карта за физическите лица или БУЛСТАТ и данъчен номер за юридическите лица. Отчитайки този проблем и предвид не много прецизната редакция на чл. 197, ал. 2 ЗД е необходимо да се последва модела на европейските директиви и да се даде по-абстрактна рамка без подобно детайлно изброяване на данните, събирани от операторите във връзка с предоставяните от тях услуги или поне да се разшири кръга на тази информация и да се направи по-точно и по-ясно изброяване. Извън посочените в чл. 197, ал. 2 ЗД категории информация операторите могат да събират, обработват и използват и други данни от крайните потребители, стига тези данни да са свързани с предоставяните от тях далекосъобщителни услуги. Операторите обаче нямат право да изискват от крайните потребители тези данни, т. е. предоставянето им от крайните потребители няма задължителен характер и отказът да бъдат предоставени не е основание за ограничаване достъпа до предлаганите далекосъобщителни услуги. Това ограничение важи единствено за крайните потребители по смисъла на ЗД (§1, т. 38 ДР). Чл. 198 ЗД поставя и още едно ограничение пред операторите по отношение на крайните потребители, а именно забрана да се поставя предоставянето на далекосъобщителна услуга в зависимост от съгласието на крайния потребител данните му да бъдат използвани за други цели.

Чл. 199 ЗД в три алинеи регламентира специален режим по отношение на отделните категории данни, очертани в чл. 197, ал. 2. Така операторът е задължен да изтрие или да "направи анонимни" трафичните данни (чл. 197, ал. 2, т. 1), освен:

1. ако данните не са необходими за осъществяване на ново повикване, или

2. в случаите предвидени в ЗД.

Изразът "да ги направи анонимни" означава, операторът да обработи трафичните данни по такъв начин, че да е невъзможно чрез тях да се идентифицират потребителите, за които тези данни се отнасят. Данните необходими за таксуване на услугите могат да бъдат съхранявани от оператора и след приключване на повикването, но следва да бъдат изтрити след "приключване на периода, през който данните от таксуването могат да бъдат изисквани, оспорени и да се осъществи плащане". В какъв срок след края на повикването ще приключи този период зависи от конкретните договорни отношения между потребителя и оператора. В последната алинея на чл. 199 законодателят създава възможността операторът да използва данните по ал. 2 на чл. 197 и за проучване мнението на крайните потребители за предоставяните от него услуги. Това проучване обаче е поставено в зависимост от две условия, които трябва да се налице кумулативно:

1. писмено съгласие на крайния потребител, чиито данни се използват за проучването и

2. деперсонифициране данните относно викания абонат.

ЗД изчерпателно посочва кои длъжностни лица на операторите могат да обработват трафичните данни и данните за таксуване като е изрично подчертано, че тези длъжностни лица следва да имат достъп само до данните, необходими за извършваната от тях дейност. Предвидена е и специалната възможност абонатът да поиска пълно изтриване на данните "не по-късно от момента на изпращане на сметките", като в този случай обаче операторът се освобождава от задължението да представи тези данни като доказателство при оспорване на сметките. Необходимо е да се направи уточнението, че тази възможност се отнася единствено за данните за таксуване на услугите.

Извън данните по чл. 197 операторите могат да събират, обработват и използват и данни необходими за:

"1. откриване, локализиране и отстраняване на неизправности и грешки в далекосъобщителните мрежи;

2. откриване и преустановяване на незаконно използване на обществените мрежи и съоръжения, когато има основание да се смята, че такива действия се извършват и това е изложено писмено от засегнатата страна или от компетентен орган;

3. откриване и проследяване на обезпокоителни повиквания при наличие на заявка от засегнатия абонат за предприемане на мерки от оператора".

В случай, че събират и обработват такива данни, операторите са длъжни своевременно да уведомят Комисията за регулиране на съобщенията и "засегнатите лица", т. е. лицата, за които се отнасят тези данни. Допустимо е операторите да не информират в своевременно засегнатите лица, ако това ще възпрепятства постигането на целите, за които се събират и обработват тези данни.

Съгласно чл. 207 ЗД за неуредените в глава четиринадесета въпроси следва да се прилага ЗЗЛД. Тази норма е необходимо да бъде тълкувана стеснително в смисъл, че ЗЗЛД ще се прилага по отношение на неуредените въпроси относно информация, която се явява лични данни по смисъла на ЗЗЛД.

Необходимост от изменение на нормативна уредба

През 2002 г. бе приета нова Директива 58/2002 на ЕО за обработката на личните данни и защита на личния живот в електронния комуникационен сектор, част от т. нар. нова рамка, която отмени Директива 66/97. Съгласно Директива 58/2002 държавите членки следваше да осигурят изпълнението на нейните разпоредби до м. октомври 2003 г. Съобразно актуализираната Секторна политика в далекосъобщенията на Министерство на транспорта и съобщенията и в съответствие с ангажименти, поети в рамките на преговорите за присъединяване към ЕС по глава 19 "Телекомуникации и информационни технологии" до 1-ви януари 2007 г. България трябва хармонизира законодателството си с това на ЕС и да осигури прилагането му. В тази връзка предстои приемането на нов Закон за електронните съобщения, съобразен с т. нар. нова рамка.

Новият Закон за електронните съобщения ще следва да възприеме разпоредбите на Директива 58/2002, която въвежда някои нови и по-усъвършенствани конструкции. Така например Директивата от новата рамка дава легална дефиниция на понятието "трафични данни" ("traffic data"). Трафичните данни вече ще обхващат не само данните необходими за осъществяване преноса на съобщения, но и така нар. "данни за фактуриране" ("billing data"). Въвежда се и ново понятие – "данни за местоположението" ("location data"), което включва данните относно географското положение на терминалните съоръжения на крайния потребител. В съответствие с новата европейска рамка в областта на електронните комуникации, новият Закон за електронните съобщения ще следва да бъде изменен спрямо сега действащия в следните насоки:

  • да даде по-прецизна уредба относно обхвата на тайната на съобщенията;
  • да включи в закрилата на тайната на съобщенията и информацията, за съхранението на която крайните потребители използват електронни комуникационни мрежи;
  • да даде уредба на предоставянето на трети лица за маркетингови цели със съгласието на абонатите и крайните потребители на трафичните данни и така нар. "данни за фактуриране"и "данни за местоположението";
  • да даде уредба на услугите с добавена стойност, за предоставянето на които се използват данни събрани във връзка с предоставянето на комуникационни услуги;
  • да даде специална уредба по отношение на съобщения, които съставляват търговска комуникация;
  • да уреди материята относно получаването на така нар. непоискани съобщения ("unsolicited communication/spam");
  • да уреди закрилата на личните данни, публикувани в печатни или електронни справочници и възможностите за тяхната промяна по всяко време и др.

Коментари: