Дари Правна помощ

Защитата на личните ни данни като потребители на стоки и услуги

Автори:
    Полина Русинова

Все по-интензивните отношения между гражданите в качеството им на потребители и търговците при сключването на договори, предоставянето на услуги, закупуването на стоки за потребление и т.н. неминуемо изискват опериране с множество наши лични данни. Един договор не може да се сключи, без страните по него да са ясни и достатъчно идентифицирани. Това съответно изисква предоставяне на лични данни от нас, за да закупим определена вещ или да ползваме дадена услуга. Същевременно търговците, за да се гарантират, че имат всичките ни данни, копират лични карти, записват ЕГН-та, искат документи за собственост на имоти.

Когато сключваме договор с търговец, ние често не четем малкия шрифт в договора, който описва как данните ни ще бъдат използвани от този търговец, за какъв директен маркетинг той си гарантира, че може да ги използва, на кои трети лица му даваме право нашите данни да бъдат предоставяни. Впоследствие започваме да получаваме различни рекламни материали или съобщения, адресирани до нас, започват да ни звънят трети лица и да ни приканват към плащане на дългове, които имаме към фирми, или пък разбираме, че имаме на наше име открити банкови сметки, сключени договори с мобилни оператори или теглени заеми, без някога да сме давали съгласието си за това.

Подобни практики създават нужда от ясни гаранции за защита на личните данни и по-ясно тълкуване и прилагане на Закона за защита на личните данни, който регулира правоотношенията в тази сфера. Националният орган, пригалащ закона и призван да предоставя защита на гражданите при нарушение на техните права на неприкосновеност на личната им информация, а именно Комисията за защита на личните данни, е имала повод да разглежда в своята практика подобни казуси и да се произнася по тях. Съгласно нейните годишни отчети за дейността й значителната част от оплакванията на гражданите към нея са свързани именно с възникнали договорни отношения с търговски дружества и обработването на лични данни по този повод.

Така, след множество оплаквания на граждани относно начина, по който се събират и обработват техни лични данни от мобилните оператори във връзка с предоставянето на телефонни и други услуги, комисията издаде задължително предписание към тези оператори - задължително предписание до „Мобилтел” ЕАД, „Космо България Мобайл” ЕАД, БТК Мобайл ЕООД и Радиотелекомуникационна компания. Комисията изисква от тези оператори, когато сключват с физическо лице договор за съобщителна услуга, договорът да съдържа изрична клауза, че лицето дава съгласие данните му да бъдат разкрити на определена категория получатели, както и за доброволния характер на предоставянето им. По-специално, трябва още при сключването на договора потребителите да се уведомяват за лицата, на които мобилните оператори ще предоставят лични данни с цел събиране на неизплатени сметки по договорите. Тази клауза не може да се изписва с шрифт, по-малък от шрифта, на който са изписани основните права и задължения по договора. Комисията задължава мобилните оператори да преустановят практиката си по снемането на копие на личните карти при сключване на договори, тъй като това надхвърля целите, за които тези данни се обработват.

Относно преснимането на лични карти от различни компании, предоставящи стоки и услуги, следва да се подчертае, че те могат да правят това само с изричното съгласие на потребителя на тези стоки и услуги или ако нормативен акт им предоставя такова правомощие. Така например практиката на банките да снимат личните карти на клиентите си при откриване на сметки и извършване на други операции се основава на Закона за мерките срещу изпирането на пари, който ги оправомощава да правят копия на лични дакументи с цел превенция на извършването на операции по изпирането на пари. Въпреки че имат такова правомощие, банките са длъжни да спазват и останалите изисквания по Закона за защита на личните данни, когато правят такива копия, а именно да информират лицето за какво ще се използват данните му, как ще се обработват, кога ще се унищожат, какъв достъп има то до тях. Друг е въпросът дали това нормативно предвидено правомощие не дава възможност на банките да събират прекомерно голям обем от данни, ненужни за целта на обработването, като се има предвид, че личните ни карти съдържат и данни като ръст, цвят на очите, особени белези. Мобилните оператори, библиотеки, агенции за търсене и предлагане на работа и др. обаче нямат такова нормативно правомощие и, следователно, те могат да правят такива копия само ако лицето изрично се съгласи.

По повод изискванията на компании, предоставящи електрическа енергия, топлофикация и ВиК услуги да правят копия от нотариалните актове на гражданите – потребители на тези услуги, Комисията е изразила позиция, че такива копия не следва да се изискват, тъй като не съществува връзка между предоставяната услуга от дружеството и правото на собственост. Ако е нужно лицето да бъде индивидуализирано като клиент-собственик, достатъчно е то да се легитимира с нотариален акт, но не и да се правят копия и се съхраняват те в някакви регистри. Смисълът отново е да не се предоставят повече данни, отколкото е необходимо за целите на обработването.

Във връзка със сключването на различни договори за стоки и услуги зачестява практиката по т. нар. „кражба на самоличност”, или присвояване на чужда самоличност, при която едно лице използва самоличността на друго реално лице, като се подправят документи с данните на лицето, а след това те се използват за откриване на банкови сметки, теглене на заеми, сключване на договори с мобилни оператори и други. Така от потребители на дадени услуги, следствие на това, че данните ни се разпространяват и обработват по незаконен начин, ние лесно можем да станем жертва на измами. Комисията отчита нарастване на жалби на физически лица, които я сезират с оплаквания, че без тяхно знание са сключени договори за услуги, заедно със сезирането на разследващите органи за евентуално извършени документни престъпления. Присвояването на чужда самоличност често се среща и при кибер престъпленията и онлайн измамите, където се крадат номера на кредитни карти, банкови сметки и др. Чрез т.нар. метод на „фишинга“ за измами и кражби се използват електронни писма с фалшиви податели, които убеждават гражданите да разкрият свои финансови данни и пароли, след което те се атакуват в интернет и се извършват кражбите и измамите.

Интересен въпрос, свръзан с тези случаи, е даването на съгласие за обработване на лични данни по електронен път. Този въпрос е бил поставен от кредитни институции пред комисията по повод предоставянето на потребителски кредити онлайн - дали кликването на бутон за съгласие за обработване на личните данни на гражданите, сключващи договора, може да се счита за валидно съгласие. Комисията е на становището, че не може да се приеме, че е налице съгласие, ако не може да се направи връзка между лицето, чиито данни ще се обработват, и лицето, потвърждаващо съгласието чрез натискане на бутон за съгласие, т.е. не може да се установи неговото авторство. Въпросът за доказването, че едно лице действително е дало съгласието си да му се обработват данните, се очаква да се постави на обсъждане и пред институциите на Европейския съюз, които дискутират промяна на регулацията именно в тази сфера.

Нередки са и случаите, подобни на кражбата на самоличност, през последните две-три години в областта на предоставянето осигурителните услуги, при които лични данни на осигурени в осигурителен фонд лица са предоставяни от осигурителни посредници на трети лица, които след това извършват промяна на осигурителния фонд, без лицето да е наясно с тази промяна и без да е дало съгласието си. През 2008-2009 г. много граждани се намериха в такова положение, без да са дали съгласието си за промени в осигурителната им партида, да разберат изведнъж, че осигурителният им фонд е сменен с друг.

Данните ни като потребители на стоки и услуги биват неправомерно използвани и за услуги на директния маркетинг. Директният маркетинг представлява предлагане на стоки и услуги по пощата, по телефон и др., както и допитване с цел проучване относно предлагани стоки и услуги. Търговците, с които ние имаме договор за стока или услуга, предоставят личните ни данни за целите на директния маркетинг, без да ни уведомят преди да разкрият данните ни или да ги използват за такъв маркетинг, нито ни дават възможност да се противопоставим срещу това разкриване или използване. Неспазвайки тези изисквания, такива търговци нарушават правилата на Закона за защита на личните данни, който изисква да бъдем информирани за такова използване и да можем да възразим.

Това са все примери от практиката, които показват множеството възможности ние като потребители да станем жертва на злоупотреби с личните ни данни или при които компаниите нарушават неприкосновеността на личната ни информация или събират повече информация от това, което им е нужно за целите на търговските взаимоотношения. Пътища за защита в такива случаи съществуват и те са няколко – жалба пред комисията, която може да санкционира нарушителя или да му издаде задължително предписание, търсене на парично обезщетение пред съдилищата за претърпените вреди, или пък защита по наказателен път при евентуални извършени престъпления. От нас зависи да бъдем както активни потребители на стоки и услуги, така и активно търсещи защита граждани при посегателства върху личната ни информация.

 

Полина Русинова е юрист, фондация „Български адвокати за правата на човека”.