Основания за обработване на лични данни от колекторски фирми

Как отговаря на въпросите за „черните списъци“ с некоректни клиенти при пазаруване онлайн надзорният орган?

В годишния отчет на Комисията за защита на личните данни са описани основанията за обработка на лични данни на длъжници, некоректни клиенти, пощенски оператори и биометрични данни

6.1.3. Обработване на лични данни от кредитни и финансови институции.

Традиционно в КЗЛД се получават запитвания по отношение на обработването на лични данни от банки и дружества, предлагащи кредитни и финансови услуги. В тази категория попадат и твърдения за неправомерно предоставяне на лични данни при събиране на задължения от физическите лица от т.нар. колекторски фирми. В такива случаи Комисията подчертава, че за сключването на договор за цесия не е необходимо наличието на „съгласие на субекта на данни“ по смисъла на Регламент (ЕС) 2016/679 или ЗЗЛД, а уведомление по реда на Закона за задълженията и договорите. Уведомлението относно цедирането може да е дадено предварително при сключване на договора, като ЗЗЛД или Регламентът не поставят ограничения върху правото на свободно договаряне, предоговаряне или търговския оборот като цяло. От гледна точка на законодателството, уреждащо защитата на физическите лица при обработване на лични данни, наличието на договор е основание за законосъобразност при обработване на данни (чл. 6, пар. 1, б. „б“ от Регламент (ЕС) 2016/679), като след настъпването на погасителна давност и прехвърляне на задължението новият кредитор обработва лични данни на длъжника на основание своя легитимен интерес да получи дължимото (чл. 6, пар. 1, б. „е“ от Регламент (ЕС) 2016/679). В такива случаи субектите на данни често желаят да се възползват от правото „да бъдеш забравен“, без за това да са налице необходимите предпоставки съгласно изискванията на чл. 17 от Регламент (ЕС) 2016/679.

Прави впечатление, че този род запитвания през 2020 г. са намалели в сравнение с 2019 г., като това най-вероятно се дължи на извънредната обстановка, свързана с пандемията от COVID-19 и предложените от кредитните институции облекчения в тази посока.

 

6.1.4. Обработване на лични данни от дружества, предоставящи пощенски услуги.

Сред трайно и често задаваните въпроси са тези за законосъобразно обработване на лични данни от куриерски фирми. Тук трябва да се има предвид фактът, че Комисията за регулиране на съобщенията извършва надзор върху извършването на пощенските услуги в съответствие със Закона за пощенските услуги (ЗПУ), като съгласува предоставените от пощенските оператори общи условия на договора с потребителите (чл. 15, ал. 1, т. 18 от ЗПУ).

Основанието за обработване на лични данни на потребителите на такива услуги обикновено се съдържа в нормата на чл. 6, пар. 1, б. „б“ от Регламент (ЕС) 2016/679, а именно обработването е необходимо за изпълнението на договор, по който субектът на данни е страна. Най-често запитванията и притесненията на субектите на данни произтичат от обстоятелството, че те не са запознати с Общите условия на конкретния оператор, където би трябвало да са посочени основанията за обработване, или операторът, в качеството си на администратор на лични данни, не е предоставил информацията съгласно изискванията, съдържащи се в чл. 13 от Регламент (ЕС) 2016/679.

 

6.1.6. Системи за лицево разпознаване.

Нараства броят на въпросите относно законосъобразността на използване от работодател на камери за лицево разпознаване на служители за целите на контрол и ограничаване на достъпа до работното място. Тази тенденция показва, че субектите на данни са все по-осведомени относно правата си и че кампаниите на КЗЛД в тази посока следва да са все по-упорити.

Използването на технологии, при които чрез специфично техническо обработване се получават лични данни, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната му идентификация (като напр. лицеви изображения или дактилоскопични данни), води до наличие на дейност по обработване на биометрични данни (чл. 4, т. 14 от Регламент (ЕС) 2016/679). Същите по своето правно естество представляват специални категории лични данни, регламентирани в чл. 9, пар. 1 от Регламента.

Биометричните данни могат да бъдат обработвани законосъобразно, ако е налице някое от условията, посочени в разпоредбата на чл. 9, пар. 2 от Регламент (ЕС) 2016/679. В трудовоправен контекст използването от работодателя (администратор на лични данни) на изричното съгласие на служителя за обработване на негови биометрични данни е недопустимо предвид неравнопоставеното правоотношение между тях.

 

6.1.7. Обработване на данни на нелоялни клиенти.

Запазва се регулярността на постъпването на въпроси за допустимостта на създаване и поддържане на списък с телефонни номера на нелоялни клиенти. Създаването и поддържането на т.нар. „черни списъци“, съдържащи лични данни (каквито са тел. номера на физическите лица) на некоректни клиенти при пазаруване онлайн, са дейност, която противоречи на законодателството и принципите за защита на личните данни. По своето правно естество тя се характеризира с действия по допълнително обработване на лични данни за цел, различна от първоначалната (преддоговорно или договорно отношение за покупко-продажба на стоки). Подобна практика не може да намери легитимно основание и в никое от изчерпателно изброените условия за законосъобразност на обработването на лични данни, предвидени в чл. 6, пар. 1 от Регламент (ЕС) 2016/679.

 

Можете да споделите: