Начало » Практика » Становища на КЗЛД за 2011 г. » Становище на Комисията за защита на личните данни относно предприемане на мерки за защитата на личните данни при извършване услугата Google Street View за Бъгария

Становище на Комисията за защита на личните данни относно предприемане на мерки за защитата на личните данни при извършване услугата Google Street View за Бъгария

СТАНОВИЩЕ
№ 3949/2011г.
гр. София, 04.10.2011г.
 
Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 21 септември 2011 г. (Протокол № 39), разгледа искане с вх. № 3949/29.08.2011г. от Гугъл Айрланд Лтд. (Google Ireland Ltd), дружество с ограничена отговорност, надлежно учредено и валидно съществуващо съгласно законите на Ирландия, регистрирано в Дъблин, с регистрационен № 368047, със седалище и адрес на управление: Гордън Хаус, Бароу Стрийт, Дъблин 4, Ирландия, подадено чрез К.Н.С., гражданин на Република България, адвокат с личен номер от Единен регистър на адвокатите при Висш адвокатски съвет № 4600003050, във връзка с приложението на Закона за защита на личните данни.
Получено е искане с вх. № 3949/29.08.2011г. от Гугъл Айрланд Лтд., с молба за официално становище, свързано с тълкуването на чл. 1, ал. 4, т. 3 от Закона за защита на личните данни (ЗЗЛД). Искането за становище е във връзка с обстоятелството, че Гугьл Айрланд планира да събира улични изображения в Република България с цел да подобри своите карти и да предложи нов продукт в България, наречен „Стрийт Вю" ("Street View"). Стрийт Вю предоставя на потребителите възможността да видят снимки с висока резолюция на градски улични гледки (заснети на ниво улица), когато те изберат местонахождение на картата. Изображенията ще се публикуват на Гугьл Мапс (Google Maps) и след това ще бъдат достъпни за потребители по целия свят при условията на защита и предпазни мерки, както са описани по-долу. Гугьл смята да разгласи дейностите по започване на заснемането в България на интернет страницата на Стрийт Вю най-малко една седмица преди неговото начало и твърди, че ще предприеме кампания в медиите, с цел да обясни на обществеността целите, за които Гугьл ще събира изображенията.
Изображенията, използвани в Стрийт Вю, ще се заснемат чрез шофиране по улиците, с камера за заснемане, монтирана на покрива на автомобила. В искането се твърди, че камерата ще заснема само фотографски снимки, като единствената информация, която Стрийт Вю автомобилът ще събира, е както следва:
· фотографски снимки;
· триизмерни лазерни сканирания (за измерване на разстоянията от превозното средство до сградите около него);
· телеметрични данни, т.е. информация от Глобална система за позициониране (Global Positioning System) относно географското местоположение на автомобила и информация за движението на автомобила, скоростта на автомобила и друга техническа информация.
От страна на Гугьл Айрланд се твърди, че Wi-fi данни (данни за безжични точки за достъп) няма да бъдат събирани от Стрийт Вю автомобилите, но не са посочени конкретните мерки, които вече са предприети или ще бъдат предприети от страна на дружеството за изключване на възможността от случаен запис на такъв вид данни от автомобилите на Гугъл Стрийт Вю.
В искането е посочено, че Гугьл планира да стартира шофирането на автомобилите в България през месец септември 2011 г., което шофиране да продължи приблизително до месец декември 2012 г., като Гугьл може в бъдеще да реши да шофира отново и да опресни изображенията в България.
С оглед обстоятелството, че камерите ще заснемат улични гледки в реално време, снимките могат случайно да включват всички обекти на улицата към съответния момент, като хора и превозни средства. Физическите лица, чиито данни ще бъдат обработени, ще включват хора от обществото, които са били на улицата към момента, към който е направена съответната снимка. Категориите обработвани лични данни ще се състоят само от инцидентно заснети образи на физически лица, които могат да бъдат идентифицирани. В тази връзка е посочено, че преди Гугъл да публикува изображенията, той задължително прилага по отношение на събраните изображения така наречената „блъринг" технология, т.е. технология, при която изображенията се размазват и стават неясни, по отношение на лицата и на регистрационните номера на автомобила. Тази технология ще се прилага за: публикуваните изображения на лица и на регистрационни номера (когато това се изисква) преди публикуването на тези изображения и непубликуваните изображения на лица и на регистрационни номера (когато това се изисква) в рамките на една година от датата на публикуване на тези изображения. В искането се твърди, че освен заснемането на изображенията чрез Стрийт Вю автомобилите, друго обработване на лични данни не се предвижда да бъде извършвано в България. След като изображенията бъдат заснети, те ще се записват на CD и/или DVD дискове и ще се изнасят от България в Белгия, където ще се качват на защитени сървъри на Гугъл в Центрове с данни на Гугъл, което може да включва и Центрове с данни на Гугъл, разположени в САЩ. Следва да се има предвид, че изображенията, които ще се публикуват в Гугъл Мапс (Google Maps), ще бъдат достъпни за потребители по целия свят.
В постъпилото искане е посочено, че и към настоящия момент Гугъл прилага подходящи технически и организационни мерки за защита на всички данни, които дружеството събира чрез Стрийт Вю автомобилите.
Данните, които ще се бъдат обработвани, ще се записват в бинарен формат на твърди дискове, които ще бъдат заключени с машинно генерирани ключове докато данните бъдат качени на защитени сървъри на Гугъл., като същите сами по себе си ще могат да бъдат правилно разчетени само със специфични, собствени системи на Гугъл. При обработване на данните Гугъл ще прилага Кодексът за поведение на Гугъл и вътрешните правила, които установяват изисквания за защита на личните данни и сигурността, които всички служители на дружеството са длъжни да спазват, както и конкретни и строги мерки за защита на данните срещу нерегламентиран достъп до тях или непозволено им изменение, разкриване или заличаване. В искането е посочено, че тези мерки включват: физическа охрана в помещенията на Гугъл в съответствие с общоприетите в индустрията най-добри практики; забрана за достъп на служителите до Стрийт Вю информацията; подбор на персонал и проверки за предходни периоди; задължителен кодекс за поведение на служители по отношение на достъпа до данни; специфична защитна инфраструктура; както и периодичен вътрешен преглед на практиките на Гугъл, свързани със събирането, съхранението и обработването на данни.
На базата на по-горе изложената фактическа обстановка и на основание член 10, алинея 1, точка 4 от ЗЗЛД, във връзка с член 5, алинея 1, точка 7; член 25, точка 4; член54, точка 2 и член 55, алинея 1 и алинея 2 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, Гугъл Айрланд е отправило молба за изразяване на официално обвързващо становище на КЗЛД по следните въпроси:
1. Дали използването на Стрийт Вю представлява инцидентно обработване на лични данни чрез средства, разположени в България, които средства не се използват само за транзитни цели, според значението на член 1, алинея 4, точка 3 от ЗЗЛД?
2. В случай, че отговорът на първия въпрос е ,ДА", с оглед на разпоредбите на член 1, алинея 4, точка 3 от ЗЗЛД, дали българският ЗЗЛД ще бъде приложим за Гугъл Айрланд, който е администратор на лични данни, регистриран в държава -членка на Европейския съюз?
3. В случай, че отговорът на двата или на един от предходните въпроси е „НЕ", дали Гугъл Айрланд ще има някакви задължения за регистрация, уведомление или докладване към Комисията или към физическите лица, за които се отнасят данните съгласно ЗЗЛД. В случай на положителен отговор, да бъде посочено с какви точно задължения за регистрация, уведомление или докладване Гугъл Айрланд трябва да се съобразява?
Правен анализ:
По въпросите, касаещи инцидентното обработване на лични данни и приложението на ЗЗЛД:
По смисъла на параграф 1, т. 1 от Допълнителните разпоредби на ЗЗЛД "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Към настоящия момент в националното законодателство на Република България в сферата на защита на личните данни и в частност Закона за защита на личните данни не прави разграничаване на действията по обработване на лични данни въз основа на посочения в т. 1 от искането критерий, а именно дали данните се обработват инцидентно (случайно, несистемно, рядко) или не. В тази връзка следва да се посочи, че Законът за защита на личните данни се прилага за обработването на лични данни с автоматични средства или неавтоматични средства,когато тези данни съставляват или са предназначени да съставляват част от регистър. Това означава, че единственото разграничаване, което законодателят прави по отношение на действията по обработване на лични данни, касае начинът, механизмът, по който същите биват обработвани, без да разграничава времево тези действия и без това да определя приложимостта на ЗЗЛД по отношение на администратора, който ги осъществява.
Въз основа на гореизложеното следва изводът, че използването на Стрийт Вю не представлява инцидентно обработване на лични данни чрез средства, разположени в България, които средства не се използват само за транзитни цели, според значението на член 1, алинея 4, точка 3 от ЗЗЛД.
По въпросите относно задължението за уведомяване и регистрация на КЗЛД:
Съгласно т. 1.1 от Общите условия за предоставяне и ползване на услугите на Гугъл под “Google” следва да се разбира Google Inc., дружество, учредено в Съединените американски щати (САЩ), чийто основен адрес на управление е 1600 Amphitheatre Parkway, Mountain View, СА 94043, САЩ., т.е. във всички случаи при сключване на споразумение относно ползване на продуктите, софтуера, услугите и уебсайтовете на Google конкретното споразумение се сключва между конкретното лице и Google Inc., САЩ, като същото включва като минимум цитираните по-горе общи условия. Относно възможността за предоставяне на услугите от страна на Google, в т.4.1 от общите условия е посочено, че „Google”/Google Inc., има дъщерни дружества и свързани юридически лица по целия свят („Дъщерни дружества и свързани лица”), като изрично е упоменато, че понякога тези дружества ще предоставят услугите от името на „Google”/Google Inc., т.е. въпросните „Дъщерни дружества и свързани лица” действат от името на американското дружество, като в техните правомощия, съобразно общите условия, е да предоставят услугите от името на дружеството. В различни държави (Германия, Франция, Ирландия и др.) Google Inc. осъществява своята дейност чрез регистрирани представителства в съответните държави („Дъщерни дружества и свързани лица”). В тази връзка следва да се приеме, че Гугъл Айрланд Лтд. имат качеството на такъв представител в друга държава и се явяват обработващ лични данни по смисъла на параграф 1, т. 1 от Допълнителните разпоредби от ЗЗЛД по отношение на обработваните лични данни за целите на услугите, предлагани от администратора на лични данни „Google”/Google Inc.
От получена информация чрез отправено международно запитване до всички органи по защита на данните, относно подхода, възприет от съответните държави членки на Европейския съюз и Европейското икономическо пространство по отношение на „Google”, става видно, че Ирландският орган е възприел, че американското дружество Google Inc. притежава качеството на администратор на лични данни по отношение на обработваните данни за целите на услугата Гугъл стрийт вю (google street view), като за възможността американското дружество да осъществява действия по обработване на лични данни за визираните по-горе цели е регистрирало свое представителство на територията на Ирландия, а именно Гугъл Айрланд Лтд. (Google Ireland Ltd).
Във връзка с необходимостта по категоричен начин да се установи кое от горепосочените две дружества има качеството на администратор на лични данни в Ирландия, бе отправено запитване до ирландския надзорен орган по защита на данните. От постъпилия отговор от страна на ирландския орган (per. № 4409/19.09.2011г.) става видно, че според Гугъл администратор по отношение на използването на предлаганите от него услуги в Ирландия е „Google”/Google Inc, САЩ. В тази връзка за Ирландския орган администратор на лични данни е „Google”/Google Inc., а Гугъл Айрланд Лтд. е местен представител на „Google”/Google Inc, поради факта, че „Google”/Google Inc, поддържа средства в Ирландия за целите на обработване на лични данни.
На база гореизложеното, в конкретния казус приложение ще намери разпоредбата на чл. 1, ал. 4, т. 3 от ЗЗЛД, т.е. Законът за защита на личните данни се прилага за обработването на лични данни, когато администраторът на лични данни не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, като в този случай администраторът - „Google”/Google Inc. трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
Относно задължението за регистрация, уведомление или докладване към Комисията или към физическите лица, за които се отнасят данните съгласно ЗЗЛД, следва да се има предвид разпоредбата на чл. 17 от ЗЗЛД, а именно, че администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни. Подаването на заявление за регистрация къмКЗЛД, от страна на администратора на лични данни или негов представител има уведомителен, нотификационен характер, т.е. задължението за уведомяване на Комисията ще бъде спазено към датата на подаване на заявлението. Регистрацията може да се извърши само чрез подаване на заявление по образец (представител) по пощата или на място в приемната на КЗЛД на следния адрес: София 1431, бул. „Акад. Иван Евстратиев Гешов" 15 .
При подаване на заявление за регистрация администраторът на лични данни Гугъл/Гугъл Инк., преди стартирането на действия по заснемане на улични изображения в Република България, е необходимо да предприеме следните технически и организационни мерки, които да гарантират правото на неприкосновеност на личността и защита на личните данни на всички физически лица на територията на Република България:
1. Да се представят на КЗЛД доказателства и информация, които да дават достатъчно гаранции, че по време на заснемане на улични изображения от камерите на Гугъл Стрийт Вю няма да се допусне събирането (вкл. случайно или инцидентно) на Wi-fi данни (данни за безжични точки за достъп).
2. Да бъдат предприети действия от страна на администратора по обучение в областта на защитата на личните данни на персонала, извършващ действия по обработване на лични данни за целите на услугата Гугъл Стрийт Вю.
3. Да предприеме мерки за недопускане на записване на пейлоуд данни (payload data) и други данни, директно свързани с лица (имейл адреси, пароли и др.). В случай на случайно събрани такъв тип данни, същите следва да бъдат заличени, освен при наличие на нормативно разписано задължение за тяхното задържане, произтичащо от законодателството на Република България.
4. В подходящ срок преди стартиране на услугата, администраторът е длъжен да информира обществеността относно: началната дата, от която ще стартира заснемането, планираната продължителност на заснемането, графиците и маршрутите на Гугъл автомобилите, вида на събираните данни, правата на физическите лица по отношение на обработваните техни лични данни (право на достъп, на информация, възражение, възможността да поискат заличаване и премахване на образите, както и начинът, по който могат да реализират тези свои права), както и относно технологията, чрез която образите на лицата и номерата на автомобилите ще бъдат замъглявани по начин и до степен, които няма да позволяват последните да бъдат идентифицирани.
5. Да предприеме по-рестриктивни мерки по отношение на прилагане на технологията за замъгляване на образите на физическите лица на места, които са свързани или биха могли да бъдат свързани с обработването на данни под особен режим по чл.5, ал.1 от ЗЗЛД, като например, но не само: религиозни храмове, болници/клиники, централи на политически партии, религиозни и философски движения, синдикални организации и др. и заведения и места, които биха могли да разкрият сексуална ориентация и/или интереси на конкретни физически лица. Данните относно физическите лица в тези случаи следва да бъдат замъглени изцяло.
6. Администраторът на лични данни е длъжен да се съобрази със забраните, предвидени в българското законодателство и ограничаващи заснемането на определени обекти, като например режимни поделения и обекти, обекти от стратегическо значение и др.
7. Информация, съставляваща обекти-частна собственост на физически лица, за която нейният собственик е предприел необходимите мерки тя да остане обичайно невидима за обществеността, следва да бъде заличавана.
8. Към датата, на която съответният суров материал е обработен и използван за нуждите на услугата Гугъл Стрийт Вю, личните данни, съдържащи се в него следва незабавно да бъдат унищожени или сведени до състояние и вид, които не позволяват повторно възстановяване на образите.
9. Администраторът е длъжен да предприеме и прилага подходящи технически и организационни мерки по отношение на личните данни, които се съдържат в суровия материал от момента на неговото създаване (заснемане) до момента, в който данните ще бъдат унищожени или сведени до състояние и вид, които не позволяват повторно възстановяване на образите съгласно т.8.
С оглед на гореизложеното и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Извършването, на действия по събиране, съхраняване, заснемане на улични изображения в Република България и др. действия по отношение на тези изображения, с цел да бъде подобрена и разширена услугата, предоставяна от Гугъл/Гугъл инк. („Google”/Google Inc.) - Гугъл Стрийт Вю (google street view), не представлява инцидентно (случайно, несистемно, рядко) обработване на лични данни чрез средства, разположени в Република България, които средства не се използват само за транзитни цели, според значението на член 1, алинея 4, точка 3 от ЗЗЛД.
2. По отношение на обработване на лични данни за целите на предлаганата отГугъл/Гугъл инк. („Google”/Google Inc.) услуга Гугъл Стрийт Вю (google street view) приложение ще намери разпоредбата на чл. 1, ал. 4, т. 3 от ЗЗЛД, т.е. Законът зазащита на личните данни се прилага за обработването на лични данни, когатоадминистраторът на лични данни не е установен на територията на държава – членкана Европейския съюз, както и в друга държава - членка на Европейското икономическопространство, но за целите на обработването използва средства, разположени набългарска територия, като в този случай администраторът - „Google”/Google Inc. трябва да посочи представител, установен на територията на Република България, безтова да го освобождава от отговорност.
3. Подаването на заявление за регистрация към КЗЛД, от страна наадминистратора на лични данни или негов представител по т.2 има уведомителен,нотификационен характер, т.е. задължението за уведомяване на Комисията се счита заспазено към датата на подаване на заявлението за регистрация и следва да бъденаправено преди стартиране на обработване на данни на територията на РепубликаБългария за целите на услугата Гугъл Стрийт Вю (google street view).
4. Едновременно с подаването на заявление за регистрация като администраторна лични данни, Гугъл Инк. в качеството си на такъв администратор, следва да сесъобрази със следните указания:
4.1. Да представи на КЗЛД доказателства и информация, които да дават достатъчно гаранции, че по време на заснемане на улични изображения от камерите на Гугъл Стрийт Вю няма да се допусне събирането (вкл. случайно или инцидентно) на Wi-fi данни (данни за безжични точки за достъп).
4.2. Да бъдат предприети действия от страна на администратора по обучение вобластта на защитата на личните данни на персонала, извършващ действия по обработване на лични данни за целите на услугата Гугъл Стрийт Вю.
4.3. Да предприеме мерки за недопускане на записване на пейлоуд данни (payload data) и други данни, директно свързани с лица (имейл адреси, пароли и др.). В случай на случайно събрани такъв тип данни, същите следва да бъдат заличени, освен при наличие на нормативно разписано задължение за тяхното задържане, произтичащо от законодателството на Република България.
4.4. В подходящ срок преди стартиране на услугата, администраторът е длъжен да информира обществеността относно: началната дата, от която ще стартира заснемането, планираната продължителност на заснемането, графиците и маршрутите на Гугъл автомобилите, вида на събираните данни, правата на физическите лица по отношение на обработваните техни лични данни (право на достъп, на информация, възражение, възможността да поискат заличаване и премахване на образите, както и начинът, по който могат да реализират тези свои права), както и относно технологията, чрез която образите на лицата и номерата на автомобилите ще бъдат замъглявани по начин и до степен, които няма да позволяват последните да бъдат идентифицирани.
4.5. Да предприеме по-рестриктивни мерки по отношение на прилагане на технологията за замъгляване на образите на физическите лица на места, които са свързани или биха могли да бъдат свързани с обработването на данни под особен режим по чл.5, ал.1 от ЗЗЛД, като например, но не само: религиозни храмове, болници/клиники, централи на политически партии, религиозни и философски движения, синдикални организации и др. и заведения и места, които биха могли да разкрият сексуална ориентация и/или интереси на конкретни физически лица. Данните относно физическите лица в тези случаи следва да бъдат замъглени изцяло.
4.6. Администраторът на лични данни е длъжен да се съобрази със забраните, предвидени в българското законодателство и ограничаващи заснемането на определени обекти, като например режимни поделения и обекти, обекти от стратегическо значение и др.
4.7. Информация, съставляваща обекти-частна собственост на физически лица, за която нейният собственик е предприел необходимите мерки тя да остане обичайно невидима за обществеността, следва да бъде заличавана.
4.8.Към датата, на която съответният суров материал е обработен и използванза нуждите на услугата Гугъл Стрийт Вю, личните данни, съдържащи се в него следванезабавно да бъдат унищожени или сведени до състояние и вид, които не позволяватповторно възстановяване на образите.
4.9.Администраторът е длъжен да предприеме и прилага подходящитехнически и организационни мерки по отношение на личните данни, които сесъдържат в суровия материал от момента на неговото създаване (заснемане) домомента, в който данните ще бъдат унищожени или сведени до състояние и вид, които не позволяват повторно възстановяване на образите съгласно т.4.8.
 
   
             ПРЕДСЕДАТЕЛ:                                         ЧЛЕНОВЕ:
                         ВЕНЕТА ШОПОВА /п/                           ВАЛЕНТИН ЕНЕВ /п/
                                                                                       МАРИЯ МАТЕВА /п/
                                                                                       ВЕСЕЛИН ЦЕЛКОВ /п/

Файлове за сваляне

Становище на Комисията за защита на личните данни относно предприемане на мерки за защитата на личните данни при извършване услугата Google Street View за Бъгария