СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № п – 2912/ 24.04.2013 г.
гр. София, 11.07.2013 г.
ОТНОСНО: Искане с вх.№п- 2912/24.04.2013г. от г-н А.П.– представляващ"А.Е.Д.П.Д" ЕАДс молба за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни в състав: Венета Шопова- председател и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на заседание, проведено на 26.06.2013г., разгледа искане с вх.№п- 2912/24.04.2013г. от г-н А.П.- представляващ"А.Е.Д.П.Д" ЕАДс молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД), по повод приложението начл.25, ал.1, т.1 от Закона за защита на личните данни. В искането е посочено, че „А.Е.Д.П.Д" ЕАД („Дружеството") е администратор на лични данни на лицата, осигурени в управляваните от Дружеството фондове за допълнително пенсионно осигуряване.Казва се, че тези лични данни включват:
1. трите имена, ЕГН, постоянен и адрес за кореспонденция на осигуреното лице;
2. номер и дата на осигурителния договор, съответно номер и дата на протокола за служебно разпределение на лицето;
3. дата и размер на постъпилите осигурителни вноски;
4. дата и размер на прехвърлените средства от и към индивидуалната партида;
5. дата и размер на удържаните такси;
6. брой дялове, съответстващи на всяка вноска, съответно прехвърлени средства и стойност на един дял, при която е определен броят дялове;
7. дата и размер на изплатени средства от индивидуалната партида;
8. брой дялове, съответстващи на изплатените средства, и стойност на един дял, при която е определен броят дялове, както и друга информация, изискуема съгласно действащата уредба.
В искането е указано, че Дружеството е длъжно да съхранява горепосочената информация по силата на чл.24 от Наредба №9 на КФН от 19.11.2003г. / б.а. точното наименование на цитираната наредба е Наредба №9 от 19.11. 2003г.за начина и редаза оценкана активите ипасивитена фондоветезадопълнително пенсионно осигуряванеи напенсионноосигурителното дружество, на стойността нанетните активи на фонда , за изчисляване и обявяване на стойносттана един дяли за изискваниятакъм воденето наиндивидуалните партиди/ Сочи се, че информацията се съхранява в електронна форма, в информационната система на Дружеството (ИСПО).
Посочено е също, че към настоящия момент, в ИСПО се съхранява информация както относно лицата, които понастоящем са осигурени в управляваните от Дружеството пенсионни фондове, така и относно лицата, които са били осигурени във фондовете на Дружеството, но междувременно са се възползвали от възможността да променят участието и да прехвърлят средствата си към други фондове, управлявани от други пенсионноосигурителни дружества.Казва се, че съгласно чл.8 от Закона за мерките срещу изпирането на пари, Дружеството е длъжно да съхранява тази информация за срок от 5 години от датата на съответната транзакция. Изказано е мнение, че няма други специални текстове, които да регламентират сроковете за съхранение на тази информация. Посочено е , че евентуалното заличаване на тази информация макар и след 5 години от датата на последната транзакция може да доведе до унищожаване на осигурителната история на лицата, за периода, в който лицето е било осигурявано в съответния фонд за допълнително пенсионно осигуряване.
В искането е посочено също така, че в случаите на прехвърляне на средства от един фонд за допълнително задължително пенсионно осигуряване в друг съответен фонд, нито НАП, нито дружеството, към чийто фонд лицето е прехвърлило средствата си, разполагат с пълната информация относно движенията по партидата на лицето през периода, в който това лице се е осигурявало във фондовете на А.Е.Д. Казва се, че в случаите, когато лицето се е осигурявало в някой от фондовете за допълнително задължително пенсионно осигуряване, НАП разполага с информация относно вноските, които е превела по сметката на съответния фонд за това лице. Посочено е, че НАП обаче не разполага с информация относно разпределените по партидата на лицето доходност, лихви за забава, нито за удържаните от тази партида такси. Посочено е също, че в случаите, когато лицето е осигурено в доброволен пенсионен фонд, вноските не се превеждат от НАП, поради което НАП няма никаква информация за вноските, които са постъпвали и са били изтегляни от индивидуалната партида на лицето. В искането се казва и че пенсионноосигурителното дружество, в чийто фонд лицето е прехвърлило средствата си, също не разполага с пълната му осигурителна история.Сочи се, че съгласно чл.8, ал.4 от Наредба №3 на КФН от 24.09.2003г., едновременно с прехвърлянето на средствата, пенсионноосигурителните дружества изпращат на дружествата, в чиито фондове са преминали лицата, писмена информация за техните индивидуални партиди. Изразено е мнение, че тази информация обаче далеч не съдържа цялата информация, съхранявана в ИСПО, съгласно чл.24 от Наредба №9. Казва се, че подаваната към новото дружество информация съдържа единствено трите имена на лицето, ЕГН, номер на заявление, номер на осигурителен договор и натрупаните средства към датата на прехвърляне.
В искането за становище е посочено също така, че от своя страна, лицата също не винаги разполагат с цялата информация относно осигурителната си история.Цитиран е чл.123з, ал.1, т.2 от Кодекса за социално осигуряване, съгласно койтопенсионноосигурителното дружество е длъжно да изпраща безплатно на осигурените лица до 31 май всяка година извлечение от техните индивидуални партиди за предходната календарна година по образец, утвърден от заместник-председателя на КФН.Посочено есъщо, че в това годишно извлечение е посочена обаче само информация относно осигурителната история за съответната изтекла календарна година.Казва се, че в случай, че лицето не е получило годишното си извлечение за дадена година, то няма друг източник на информация за случилото се по партидата му през тази година.
В искането е посочено също така, че осигурителните отношения имат дългосрочен характер и са важни с оглед изчисляване размера на пенсиите при придобиване право на пенсия от осигурените лица и при евентуални промени в законодателството, предвиждащи въвеждането на гаранции за запазване на размера на осигурителните вноски на лицата, историята за целия период на осигуряване се явява от основополагащо значение, в това число за осигурителноправните интереси на лицата.
Отправена е молба за становище от КЗЛДдали тази информация следва да бъде унищожавана в случаите на промяна на участие и прехвърляне на средства в друг съответен фонд или да се съхранява за по-дълъг от 5 годишния срок, предвиден от ЗМИП, и ако се съхранява какви срокове за съхранение следва да се прилагат.
Законът за мерките срещу изпирането на пари (ЗМИП) е специалният закон, който регламентира нормативните условия, при наличието на които е допустимоадминистратор да идентифицира клиентите си.Съгласно чл.3, ал.1, т.1 от ЗМИП, една от мерките за превенцияна използването нафинансовата системаза целите на изпирането на пари е "идентифициране на клиенти и проверка на тяхната идентификация".Пенсионноосигурителните дружества са задължени лица по смисъла чл.3, ал.2, т.4 от ЗМИП. На основание чл.4 от ЗМИП пенсионноосигурителните дружества са длъжни да идентифицират клиентите си при установяване на търговски или професионални отношения, в т.ч. при откриване на сметка, както и при извършване на операция или сключване на сделка на стойност над 30 000лв. или тяхната равностойност в чужда валута, както и при извършване на операция или сключване на сделка в наличност на стойност над 10 000лв. или тяхната равностойност в чужда валута.
Пенсионноосигурителните дружества са длъжни да индивидуализират лицата, ползващи техните услуги /клиентите/ и в случаите на извършване на повече от една операция или сделка, които поотделно не надвишават 30 000лв. или тяхната равностойност в чужда валута, съответно 10 000лв. или тяхната равностойност в чужда валута, но са налице данни, че операциите или сделките са свързани.Следва да се има предвид и разпоредбата на ч.4, ал.13, съгласно която теса длъжнида идентифицират клиентите сии извънизричнорегламентираните случаи по ал.1- ал.12 на чл.4, когато възникне съмнение заизпиране на пари.
Според чл.6, ал.1, т.2 от ЗМИП идентифицирането на клиентите и проверкатана тяхната идентификация се извършва за физически лица- чрезпредставяне наофициален документза самоличности регистриране на неговия вид, номер, издател, както и на името, адреса, единния граждански номер. На основание ал.3 от същия член, от документите по ал.1се снема копие, освен ако данните, съдържащи се в тях, се отразяватточно и в други документи, съставяни от нотариусаи се съхраняват при условията на чл.8 от ЗМИП.
Идентифицирането и проверкатана идентификациятана физическите лица, съгласночл.2, ал.1 от Правилника за прилагане на закона замерките срещу изпирането на пари (ППЗМИП), се извършватчрезпредставяне наофициален документза самоличност и снемане на копие от него при извършване на действия по идентифициранетона физически лицасе събират данни за:
1. имената;
2. датата и мястото на раждане;
3. официален личен идентификационен номер или друг уникален елемент за установяване на самоличността, съдържащ се в официален документ, чийто срок на валидност не е изтекъл и на който има снимка на клиента;
4. гражданство;
5. държава на постоянно пребиваване и адрес (номер на пощенска кутия не е достатъчен).
Във връзкасъс задължениетоза идентифициране на дадено физическо лице, следва да се има предвид, чесъгласно чл.5 от Закона за мерките срещу изпирането на парипенсионноосигурителните дружества са длъжни да установят дали клиентът действа от свое име и за своя сметка или от името и за сметка на трето лице. Ако операцията или сделката се извършва чрез представител, се изискват доказателства за представителната власт и идентифицират представителя и представлявания. Ако операцията или сделката се извършва от името и за сметка на трето лице без упълномощаване, се идентифицира третото лице, от името и за сметка на което е извършена операцията или сделката, и лицето, извършило операцията или сделката. В същия смисъл е и разпоредбата на чл.6 от ППЗМИП, а именно "Чл. 6. (1) В случаите на извършване на операция или сделка от името и за сметка на трето лице се идентифицират лицето, извършило операцията или сделката, и лицето, от името на което се извършва операцията или сделката, като се установява връзката между тях.
(2) В случаите на извършване на операция или сделка чрез трето лице- приносител на документ за извършване на операцията или сделката, се идентифицира и третото лице- приносител на документа."
Действително,в случаитепо чл.4-7 от ЗМИП, пенсионноосигурителните дружества, в качеството си на задължени лица, по смисъла на чл.3, ал.2, т.4 са длъжни да съхраняватза срок 5 години данните за клиентите и документите за извършените сделки и операции, както и документите, свързани с установяване и поддържане на търговски и ли професионални отношения ( чл.8 ЗМИП).В ал.2 е посочено, чепо писмено указание на директора на дирекция "Финансово разузнаване" на Държавна агенция "Държавна сигурност"този срокза съхраняване наинформациятаможе да бъде удължендо7 години.
При наличие на нормативно разписан срок на съхранение на данните, същият следва да бъде съобразен, поради коетоби било несъстоятелно едноискане със становище на КЗЛД да се променя един нормативно установен срок за съхранение.
Допълнителното задължително и допълнителното доброволно пенсионно осигуряване се осъществяват чрез участие в универсални и/или професионални пенсионни фондове, както и във фондове за допълнително доброволно пенсионно осигуряване, които се учредяват и управляват от пенсионноосигурителни дружества (чл. 120а КСО). Законовата уредба на допълнителното пенсионно осигуряване се съдържа в част втора на Кодекса за социално осигуряване. Участието във фонд за допълнително задължително пенсионно осигуряване става чрез подаване на индивидуално заявление в срок до три месеца от възникване на задължението за осигуряване или въз основа на служебно разпределение, начинът и редът на което се определя със съвместна инструкция на Комисията за финансов надзор и Националната агенция за приходите. Устройството, функциите и дейността на Комисията за финансов надзор (КФН) са уредени в Закона за Комисията за финансов надзор (ЗКФН). За конкретизиране на отделни аспекти на този закон Комисията за финансов надзор е приела редица подзаконови нормативни актове- наредби, както и практики и указания за неговото тълкуване и прилагане, в т.ч. и Наредба №33 от 19.09.2006г. за индивидуалните заявления за участие във фонд за допълнително задължително пенсионно осигуряване (Наредба №33 на КФН) и Наредба №3 от 24.09.2003г. за реда и начина за промяна на участие и за прехвърляне на натрупаните средства на осигурено лице от един фонд за допълнително пенсионно осигуряване в друг съответен фонд, управляван от друго пенсионно осигурително дружество (Наредба №3 на КФН). В 3-месечен срок от възникването на задължението за осигуряване (сключване на първи трудов договор, започване на дейност като самостоятелно заето лице) физическото лице има право и е длъжно да изберете фонд за допълнително задължително пенсионно осигуряване, в който да постъпват неговите вноски. За да започне да се осигурява в него, е необходимо да подаде заявление за участие до пенсионно осигурителното дружество, което го управлява. Заявлението е по образец, утвърден с наредба на Комисията за финансов надзор. Заявлението може да се подаде в офис на пенсионноосигурителнотодружество, чрез осигурителен посредник или като електронен документ, подписан с електронен подпис. След подаване на заявлението физическото лице сключва с пенсионно осигурителното дружество осигурителен договор. В качеството си на страна по договора то има право да получи екземпляр от него, както и от правилника за организацията и дейността на пенсионния фонд, в които са описани условията, при които ще се осигурява то.
Пенсионноосигурителните дружества и управляваните от тях фондове са отделни юридически лица, условие за съществуването на които е разрешаване на дейността им от Комисията за финансов надзор. За да могат да набират осигурителни вноски във фондове за допълнително пенсионно осигуряване, пенсионно осигурителните дружества трябва да притежават лицензии, издаването на които се осъществява при лицензионен режим по реда на КСО (чл. 121, ал.1, чл.122, чл.122б КСО). С оглед спецификата на осъществяваната от тях дейност пенсионно осигурителните дружества са и администратори на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД и като такива следва да подадат заявление за регистрация в Регистъра на администраторите на лични данни и водените от тях регистри при Комисията за защита на личните данни, като обявят поддържаните от тях регистри с лични данни. В качеството си на администратор на лични данни"А.Е.Д.П.Д." ЕАД, ЕИК ****** е подало заявление за регистрация като администратори на лични даннис вх.№100 и е вписан в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД, с уникален идентификационен номер23008. Заявените регистри са тринадесет на брои, както следва:
1.Портал – Агенти и Клиенти
2.Архивираща системаза документи
3. Информационна с- мапенсионен фонд
4. Персонал
5. Хонорари
6. НПС- ПИК
7. Видеонаблюдение
8.Кол център
9. Фиркософт
10. Портал
11.Документор
12. Досиета
13. Посетитерите
При направена служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри на лични дани, поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД, се установи, че по отношение на заявените регистри"Информационна системапенсионен фонд" и "Кол център" не е посоченсрок за съхранение на обработваните данни.
Съхранението на заявления за участие и на заявления за промяна на участие в пенсионно осигурителни фондове, без значение дали по тях са сключени или не осигурителни договори, по своята същност съставлява обработване на лични данни, по смисъла на легалната дефиниция в параграф1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. това е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл.4, ал.1 от ЗЗЛД, според който обработването на лични данни се допуска, само когато е налице поне едно от изчерпателно изброените условия за допустимост на обработването.
В конкретния казусе наличноусловие за допустимост на обработването на лични данни във връзка с подаване на заявление за участие в конкретен пенсионно осигурителен фонд към конкретно пенсионно осигурително дружество от страна на самото лице, за което е възникнало задължение за осигуряване в универсален пенсионен фонд или е служебно разпределено (чл. 4, ал.1, т.1 и/или т.2 от ЗЗЛД). Същото е длъжно да подаде в срока по чл.137, ал.3 от Кодекса за социално осигуряване заявление по образец съгласно приложение №1 от Наредба №33 на КФН до пенсионно осигурителното дружество, управляващо фонда, в който желае да участва или е служебно разпределен. Съществуваиусловие за допустимост на обработването на лични данни във връзка с подаване на заявление за промяна на участие в конкретен пенсионно осигурителен фонд към конкретно пенсионно осигурително дружество (чл. 4, ал.1, т.1 и т.2 от ЗЗЛД). Съгласно чл.171 от КСО осигуреното лице има право да промени участието си във фонд за допълнително задължително пенсионно осигуряване и да прехвърли натрупаните средства по индивидуалната партида от един в друг съответен фонд, управляван от друго пенсионно осигурително дружество, ако са изтекли две години от датата на сключване на първия му осигурителен договор или от датата на служебното му разпределение след възникване на задължението му за осигуряване при спазване на нормативно установената за това процедура и при предоставяне на нормативно установения за това обем и вид данни. Съгласно чл.21б от Наредба №3 на КФНпенсионно осигурителното дружество, управляващо фонда, в който лицето е прехвърлило средства, съответно пенсионно осигурителното дружество, управляващо фонда, в който лицето е продължило да се осигурява поради отказ по чл.6, ал.1 или 2, съответно по чл.16, ал.1– 3 от същата наредба, съхраняват заявленията и свързаните с тях документи за срок не по-малък от 5 години от приключване на съответната процедура по реда на чл.8, ал.2 и чл.18, ал.2. Следва да се има предвид, че едно от правомощията на Комисиятапо финансов надзор е именно да дава писмени указания относно прилагането и тълкуването както на Кодекса за социално осигуряване, така също и на подзаконовите нормативни актове по неговото прилагане, в т.ч. и Наредба №3 на КФН,във връзка с осъществяване на финансовия надзор, в който надзор се включва и надзора на дейността на дружествата за допълнително социално осигуряване и на управляваните от тях фондове, съгласно Кодекса за социално осигуряване. С оглед обстоятелството, че в цитирания чл.21б отНаредба №3 на КФНе поставено изискване само и единствено за минималния размер на срока на съхранение на заявленията за промяна на участие и свързаните с тях документи, няма пречка за надзорния орган– КФН, при необходимост, мотивирано и съобразено с целите, за които се обработват данните чрез тяхното съхранение, да удължи този срок.
Следва да се има предвид, чезадължението на администратора на лични данни да унищожи данните/ чл.25, ал.1, т.1 от ЗЗЛД/ или да ги прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването/ чл.25, ал.1, т.2 от ЗЗЛД/, възниква от момента, в който целта на обработване на личните данни е постигната или преди преустановяване на обработването на личните данни. Само при наличие на тези обстоятелства за администратора на лични данни ще се породи задължението по чл.25 от ЗЗЛД. При наличие на нормативно разписан срок на съхранение на данните, същият следва да бъде съобразен.
Относно законосъобразното обработване на данни, освен наличие на условие за допустимост на обработването, администраторите на лични данни, в конкретния казус– "А.Е.Д.П.Д" ЕАД, следва да обработва данните и съгласно разписаните за това принципи в чл.2, ал.2 от ЗЗЛД, и по- конкретно личните данни да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон; да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват и да се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват. Във всички случаи администраторът е длъжен и да изпълни задълженията си за уведомяване на физическите лица, съгласно чл.19 и чл.20 от ЗЗЛД. За да се гарантира изпълнението на заложените в чл.2, ал.2 от ЗЗЛДпринципи за целесъобразност и пропорционалност на данните, е и разписаното задължение на администратора на лични данни в чл.23, ал 1, изречение второ от ЗЗЛД, да определи срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за тяхното заличаване. Тези мерки се определят с инструкция на администратора на лични данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД,Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. В случаите, в които за обработването на данни има нормативно установен срок, същите следва да се обработват в рамките на този срок, например, установиения в чл.8 на Закона за мерките срещу изпирането на пари, визиран в искането. В случаите, в които не е налице такъв срок, администраторът е длъжен да обработва данните за период не по дълъг от необходимия за постигане на целите, за които са били получени те. След изтичане нанормативно уустановения срок илипостигане на целите, за които са получениданните следва да бъдат унищожени.
2. В правомощията на Комисията по финансов надзор, в качеството й на регулаторен и надзорен орган, е да приема наредби и инструкции, когато това е предвидено в закон, както и да дава писмени указания относно прилагането и тълкуването на Кодекса за социално осигуряване и подзаконовите нормативни актове по неговото прилагане, във връзка с осъществяване на финансов надзор върху дейността на дружествата за допълнително социално осигуряване и на управляваните от тях фондове. Поради това няма пречка КФН, съобразно своите правомощия, да прецени наличието на необходимост или удължаване на срока за съхранението на информация, индивидуализираща физически лица от страна на пенсионно осигурителните дружества.
3. Указва на "А.Е.Д.П.Д" ЕАД да посочи срокове за съхранение на обработваните данни по отношение заявените регистри"Информационна системапенсионен фонд" и "Кол център" в поддържаният от Комисията регистър на администраторите на лични данни и на водените от тях регистри на лични данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
