Становище на КЗЛД относно предоставяне на лични данни на клиенти

Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониеви Веселин Целков на заседание, проведено на 30.04.2014 г., разгледа преписка с вх.№ П – 1148 от 28.03.2014 год. от Д.К. и В.Х., в качеството им на изпълнителни директори на „П.И.Б.“ АД. Поставен е въпрос, във връзка с искане от ЗАД „Б.В.И.Г.“ за предоставяне на лични данни– имена и ЕГН на клиенти на „П.И.Б.“ АД.

В искането се предоставя информацията, че при изплащане чрез банков превод на застрахователни обезщетения по щети, предявени пред Застрахователя последният посочва в платежни нареждания IBAN на сметката на получателя, която следва да бъде заверена със сумата на превода. При изпълнение на платежните нареждания, съгласно Закона за платежните услуги и платежните системи (ЗПУПС), банката на получателя е длъжна да изпълни платежното нареждане точно по отношение на посочения в него IBAN на сметката на получателя. Банките при изпълнение на нареждането нямат задължение да извършват проверка за съответствие на посочения IBAN с имената на титуляра. При посочване на валиден IBAN, но различен от действителния получател на средствата, банката ще изпълни платежното нареждане, като в този случай със сумата на превода ще бъде заверена сметката, съгласно посочения в нареждането уникален идентификатор (IBAN).

Г-н Д.К. и г-н В.Х. уведомяват КЗЛД, че в конкретния случай, обстоятелствата са се развили по гореописания начин и сумите, наредени от ЗАД „Б.В.И.Г.“ (Застрахователя), поради погрешно посочен в платежното нареждане идентификатор IBAN са постъпили по сметки на трети лица клиенти на „П.И.Б.“ АД, за които не са били предназначени. В резултат на преводите третите физически лица са се обогатили неоснователно, получавайки суми, които не им се дължат.

В тази връзка, за да може наредителят ЗАД „Б.В.И.Г.“, да предяви по съдебен ред своите претенции срещу третите облагодетелствали се лица, Застрахователят е отправил до Банката искане за предоставяне на съхранявани в Банката данни– имена и ЕГН. Съгласно чл.4, ал.1, т.7 от Закона за защита на личните данни (ЗЗЛД) обработването на лични данни е допустимо, когато е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Г-н Д.К. и г-н В.Х. се обръщат към Комисията за защита на личните данни (КЗЛД) за становище, относно това, дали „П.И.Б.“ АД, има законово основание да предостави исканата информация, съставляваща лични данни на ЗАД „Б.В.И.Г.“, а именно имена, ЕГН на титулярите, по чиито банкови сметки погрешно са постъпили парични средства с цел осигуряване на възможност на ЗАД „Б.В.И.Г.“ да защити своите законни интереси, предявявайки по съдебен ред иск за неоснователно обогатяване срещу физически лица, разкриването на чиито лични данни се иска.

Към искането като приложения са представени и заверени копия на писмо с изх.№П00037/09.01.2014 г. на ЗАД „Б.В.И.Г.“; писмо с изх.№45-156/1 от 31.01.2014 г., с което „П.И.Б.“ АД отказва да предостави информация, съставляваща лични данни; второ писмо от ЗАД „Б.В.И.Г.“ с изх.№П000186/11.02.2014 г.

Законът за платежните услуги и платежните системи (ЗПУПС) урежда изискванията към дейността на доставчиците на платежни услуги и видовете платежни услуги; условията и реда за лицензиране и осъществяване на дейност от платежните институции; изискванията за предоставяне на информация при извършване на платежни услуги; правата и задълженията на страните при извършването на платежни услуги;условията и реда за лицензиране и осъществяване на дейност от дружествата за електронни пари; окончателността на сетълмента в платежни системи и системи за сетълмент на ценни книжа; условията и реда за лицензиране и осъществяване на дейност от платежните системи; платежния надзор; реда за извънсъдебно разрешаване на спорове във връзка с предоставянето на платежни услуги.

„Платежно нареждане“, съгласно допълнителните разпоредби на ЗПУПС, е всяко нареждане от платеца или получателя към доставчика на платежни услуги, с което се разпорежда изпълнението на платежна операция. При изплащане чрез банков превод на застрахователни обезщетения по банков превод на застрахователни обезщетения по щети, предявени пред Застрахователя, последният посочва в платежни нареждания IBAN на сметката на получателя, която следва да бъде заверена със сумата на превода. При изпълнение на платежните нареждания, съгласно чл.67, ал.1 от Закона за платежните услуги и платежните системи (ЗПУПС), когато платежно нареждане е изпълнено в съответствие с посочения в него уникален идентификатор, нареждането се смята за точно изпълнено по отношение на получателя, посочен с уникалния идентификатор. Банките при изпълнение на нареждането нямат задължение да извършват проверка за съответствие на посочения IBAN с имената на титуляра. При посочване на валиден IBAN, но различен от действителния получател на средствата, банката ще изпълни платежното нареждане, като в този случай със сумата на превода ще бъде заверена сметката, съгласно посочения в нареждането уникален идентификатор (IBAN).

Съгласно допълнителните разпоредби на ЗПУПС „платежна сметка“ е сметка, водена на името на един или повече ползватели на платежни услуги, използвана за изпълнението на платежни операции.

„Платежно нареждане“ е всяко нареждане от платеца или получателя към доставчика на платежни услуги, с което се разпорежда изпълнението на платежна операция.

„Платец“ е физическо или юридическо лице, което е титуляр на платежна сметка и разпорежда изпълнението на платежно нареждане по тази сметка, а когато липсва платежна сметка – физическо или юридическо лице, което дава платежно нареждане.

„Получател“ е физическо или юридическо лице, определено като краен получател на средства, които са предмет на платежна операция.

Предоставянето от един администратор ЗАД „Б.В.И.Г.“, вписано в Електронния регистър на администратори на лични данни (еРАЛД), с идентификационен №156514 на друг администратор „П.И.Б.“ АД, вписано в (еРАЛД) с идентификационен №50535, на лични данни на физически лица, представлява „Обработване на личните данни“, което се извършва чрез предоставяне на данните, съгласно легалната дефиниция, посочена в §1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е „…всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като … разкриване чрез предаване…. предоставяне“.

Изисканата информация съставлява имена и единни граждански номера на титулярите, по чиито банкови сметки погрешно са постъпили паричните средства, сцел осигуряване на възможност ЗАД „Б.В.И.Г.“ да защити своите законни интереси, предявявайки по съдебен ред иск за неоснователно обогатяване срещу физически лица, разкриването на чиито лични данни се иска.

В изложения казус следва да намерят приложение разпоредбите на чл.4, ал.1 от ЗЗЛД, който урежда алтернативни основания, при наличието на които се допуска обработването на лични данни.

В случая може да намери приложение разпоредбата на чл.4, ал.1, т.7 от ЗЗЛД, съгласно която обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните. ЗАД „Б.В.И.Г.“ изисква предоставянето на лични данни на физическите лица клиенти на „П.И.Б.“ АД, с цел получаване на достатъчно информация за неоснователно обогатяване на определени лица, към които да насочи претенции по съдебен ред.

Съгласно разпоредбите на чл.55 от Закона за задълженията и договорите (ЗЗД) – който е получил нещо без основание или с оглед на неосъществено или отпаднало основание, е длъжен да го върне.

Във връзка с реализиране на законните интереси на администратора на лични данни от страна на ЗАД „Б.В.И.Г.“, „П.И.Б.“ АД може да предостави изисканата информация.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното

Предоставянето на лични данни (имена и ЕГН) на лица, клиенти на „П.И.Б.“ АД, по чиито сметки са постъпили суми, наредени от ЗАД „Б.В.И.Г.“, поради погрешно посочен в платежното нареждане идентификатор IBAN, може да се извърши на основание чл.4, ал.1, т.7 от Закона за защита на личните данни и във връзка с чл.55 от Закона за задълженията и договорите, който урежда хипотезата на неоснователно обогатяване на определени лица, с цел търсене на претенции по съдебен ред от страна на ЗАД „Б.В.И.Г.“.