СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-18/2020г.
гр. София, 08.04.2020г.
ОТНОСНО: Обработване на лични данни на основание Закона за мерките срещу финансирането на тероризма
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 25.03.2020г., разгледа искане за становище с рег. №ПНМД-01-18/26.02.2020г. от банка, с което банката поставя следните въпроси, касаещи обработването на лични данни при изпълнение на разпоредбите на Закона за мерките срещу финансирането на тероризма (ЗМФТ):
1. „Може ли задължените лица по Закона за мерките срещу финансиране на тероризма да обработват лични данни на свои служители, респ. кандидати за работа на основание спазване на законовите си задължения по смисъла на чл.6, §1, б.„в“ от Общия регламент за защита на данните?“
2. „Ако отговорът е отрицателен то има ли друго правно основание по смисъла на чл.6 от Общия регламент за защита на данните, въз основа на което задължените лица по Закона за мерките срещу финансиране на тероризма да обработват лични данни на свои служители, респ. кандидати за работа– например легитимен интерес?
Правен анализ:
Със Закона за мерките срещу финансирането на тероризма (ЗМФТ) се определят, както мерките, така и редът и контролът за тяхното прилагане. Целта на закона е предотвратяването и разкриването на действия на физически, юридически лица, групи и организации, насочени към финансиране на тероризма.
Разпоредбата на чл.3 от закона предвижда следните мерки:
1. блокиране на финансови средства и други финансови активи или икономически ресурси;
2. забрана за предоставяне на финансови услуги, финансови средства и други финансови активи или икономически ресурси.
Лицата, изпълнили някоя от мерките, следва незабавно да уведомяват за това министъра на вътрешните работи, министъра на финансите, председателя на Държавна агенция „Национална сигурност“ и Комисията за противодействие на корупцията и за отнемане на незаконно придобитото имущество.
В чл.4б от закона е предвидено, че посочените по-горе мерки се прилагат спрямо:
1. физически лица, юридически лица, групи и организации, спрямо които са наложени санкции за тероризъм или финансирането му с регламент на Европейския парламент и на Съвета;
2. физически лица, юридически лица, групи и организации, посочени от Съвета за сигурност на Организацията на обединените нации като свързани с тероризъм или финансирането му или спрямо които са наложени санкции за тероризъм или финансирането му с резолюция на Съвета за сигурност на Организацията на обединените нации- след публикуване на информацията по чл.5а, ал.1, т.2;
3. физически лица, юридически лица, групи и организации, включени в списък, приет с решение на Министерския съвет.
Като в чл.4в е уточнено, че мерките спрямо субектите по т.1 се прилагат по реда, предвиден в регламентите на Европейския парламент и на Съвета, и по реда на този закон, когато това е предвидено, докато мерките спрямо субектите по т.2 и 3 се прилагат по реда на този закон.
Наред с това, разпоредбата на чл.7 от ЗМФТ, въвежда обща забрана на физическите и юридическите лица или други правни образувания да предоставят финансови средства и други финансови активи или икономически ресурси, както и финансови услуги на лица, посочени в чл.4б, т.2 и 3 от ЗМФТ.
Тук следва да се отбележи, че Държавна агенция „Национална сигурност“, съгласувано с Министерството на вътрешните работи, дава указания за прилагане на предвидените в закона мерки и същите се публикуват на интернет страниците на двете ведомства (арг. чл.5б от ЗМФТ). Нещо повече, контролът по изпълнението на задълженията по ЗМФТ от задължените субекти по Закона за мерките срещу изпирането на пари (ЗМИП), сред които са банките и финансовите институции, се извършва от председателя на Държавна агенция „Национална сигурност“ (арг. чл.14а ЗМФТ).
От изложеното дотук може да се направи извод, че мерките по ЗМФТ целят предотвратяването и разкриването на действия на физически, юридически лица, групи и организации, насочени към финансиране на тероризма чрез блокиране на финансови средства и други финансови активи или икономически ресурси или чрез забрана за предоставяне на финансови услуги, финансови средства и други финансови активи или икономически ресурси на лицата посочени в чл.4б от ЗМФТ.
Видно от разпоредбите на ЗМФТ, банките и финансовите институции са задължени субекти по прилагането на закона и същите следва да прилагат мерките по отношение на лица, с които имат някакво правоотношение (напр. договорно или преддоговорно) по повод на предоставяните от тях финансови услуги.
В конкретния случай, доколкото правоотношенията между работодателя, имащ качеството на задължено лице по ЗМФТ и служителите му, попадат в обхвата на закона, за работодателя би възникнало законово задължение, което от своя страна е основание за законосъобразност на обработването на лични данни по смисъла на чл.6, §1, б.„в“ от Регламент (ЕС) 2016/679. Това обработване обаче, следва да отговаря на изискванията на ЗМФТ, т.е. физическите лица– служители на банката да попадат в една от описаните в чл.4б от същия закон групи и банката да предприема спрямо тях мерките посочени в чл.3 от него (да борави с финансовите средства и/или да предоставя финансови услуги на своите служители).
Тук следва да се отбележи, че КЗЛД не е компетентен орган по прилагането на ЗМФТ и евентуалното ѝ произнасяне за наличие, респ. липса на законово задължение, предвидено в специален закон какъвто е ЗМФТ, би било несъвместимо с нормативно установените ѝ правомощия.
С оглед на гореизложеното и предвид високата степен на значимост на обществените отношения, регламентирани на законово ниво чрез специалния ЗМФТ, е налице обоснован извод, че обработването на лични данни за целите на изпълнението на закона на базата на легитимен интерес на администратора, би било незаконосъобразно.
Във връзка с горепосоченото и на основание чл.58, §3, б.„б“ от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Когато правоотношенията между работодателя, имащ качеството на задължено лице по ЗМФТ и служителите му, попадат в обхвата на закона, за работодателя би възникнало законово задължение, което от своя страна е основание за законосъобразност на обработването на лични данни по смисъла на чл.6, §1, б.„в“ от Регламент (ЕС) 2016/679, при условията на чл.3 и чл.4б на ЗМФТ.
2. Правоотношението с кандидатите за работа не попада в материалния обхват на ЗМФТ, следователно обработването на техни лични за визираните в закона цели би било незаконосъобразно.
3. Предвид високата степен на значимост на обществените отношения, регламентирани на законово ниво в специалния ЗМФТ, е налице обоснован извод, че обработването на лични данни за целите на изпълнението на закона на базата на легитимен интерес на администратора, би било незаконосъобразно.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
Мария Матева /п/ | ||
Веселин Целков /п/ |