СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег.№ПНМД-01–64/2021г.
гр. София, 21.07.2021 г.
ОТНОСНО: Предоставяне на данни от Регистъра на населението– Национална база данни „Население” на общинските администрации във връзка с приема на деца в ясли, детски градини/подготвителна група и първи клас
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Цанко Цолов и Веселин Целков, на заседание, проведено на 14.07.2021г., разгледа искане за становище с вх. №ПНМД-01-64/28.06.2021г. от главния директор на главна дирекция „Гражданска регистрация и административно обслужване” (ГД „ГРАО”) при Министерство на регионалното развитие и благоустройството (МРРБ), по повод постъпили в дирекцията искания от общинските администрации за достъп и предоставяне на данни от Регистъра на населението– Национална база данни „Население” във връзка с приема на деца в ясли, детски градини/подготвителна група или първи клас.
От ГД „ГРАО” посочват, че целта, за която се искат данните, е както за проверка на подаваната от родителите информация във връзка с приема на децата в ясли, детски градини/подготвителна група или първи клас, така и за определяне прилежащите райони на училищата за обхват на учениците в първи клас, с оглед водещия критерий – близост на училището до постоянния/настоящия адрес на детето или изготвяне на списъци на децата, които следва да постъпят в групи за предучилищна подготовка и в първи клас, за предоставяне в училищата и детските градини на територията на общината (чл.47, ал.1 от Наредба №10 от 1септември 2016г.). В зависимост от целта, за която данните се искат и с оглед спазване принципите за обработване на данни (чл.5 от Регламент (ЕС) 2016/679) в едни случаи обемът на предоставените данни следва да обхваща само данни за лица, чиито данни вече се съдържат в електронната система на общината за прием, а в други случаи обработването следва да се отнася само до данни на лица, обект на приема в ясла, детска градина/подготвителна група или първи клас в училища на територията на общината. Обичайно обемът на данни се свежда до име, ЕГН и адресна регистрация, като последната може да бъде искана към определена дата. Допуска се възможността исканията от общинските администрации да обхващат и необходимост от предоставяне на данни за родители, като име, ЕГН и адресна регистрация или брой на децата в семейството, ако е установен критерий с предимство за дете, което живее в семейство с три и повече деца или деца с един родител.
В искането се излагат мотиви, че Законът за предучилищно и училищно образование (ЗПУО) вменява правомощия на органите на местното самоуправление по осигуряване и контрол на условията и организацията на дейностите в предучилищното образование в общинските детски градини и обхвата на подлежащите на задължително предучилищно и училищно образование деца и ученици (чл.256, ал.1, т.т. 1 и 2 от ЗПУО). Съгласно същия, условията и редът за записване, отписване и преместване в общинските детски градини се определят с наредба на общинския съвет (чл.59, ал.1 от ЗПУО). Аналогична е разпоредбата и на чл.7, ал.1 от Наредба№5 за предучилищното образование, с която записването, отписването и преместването в общинските детски градини се извършва също с наредба на общинския съвет. Съгласно чл.43, ал.ал. 1 и 3 от Наредба№10 от 1 септември 2016г. за организация на дейностите в училищното образование за осъществяване на приема в първи клас за всяко населено място с повече от едно училище, общините разработват система за прием, в която водещ критерий е близостта на училището до постоянния/настоящия адрес на детето и определят прилежащи райони на училищата за обхват на учениците, като при спазване на водещия критерий, децата за които е подадено заявление за приемане в училището се разпределят в съответни групи съобразно адресната им регистрация и периода, за който същата не е променяна. За разпределянето в групите се взема посоченият в заявлението адрес, който е по-благоприятен за ученика.
От ГД „ГРАО” считат, че във всички случаи на осъществяване на действия по предоставяне на лични данни (вкл. чрез достъп), същите съставляват действия по обработване на лични данни по смисъла на Регламент (ЕС) 2016/679 и безспорно обработването следва да става при спазване на условията за законосъобразност и принципите на обработване в чл.5 и чл.6 от Регламента. Тъй като в конкретните случаи се касае за предоставяне на данни относно гражданската регистрация, предоставянето им следва да става и при отчитане изисквания на чл.106 от Закона за гражданската регистрация (ЗГР), като специален по отношение предоставяне на данни от ЕСГРАОН.
Тъй като предоставянето на достъп до лични данни, съгласно легалното определение въведено с чл.4, т.2 от Регламент (ЕС) 2016/679, представлява обработване на лични данни, то предоставянето на данни (независимо от начина, по който може да се осъществява– чрез предоставяне на данни в структуриран вид, чрез директен достъп до конкретни данни от електронния регистър с програмен интерфейс или чрез Средата за междурегистров обмен, като стандартизирани заявки/справки) се извършва само при наличие на една от хипотезите, визирани в чл.6, пар.1 от Регламента и при стриктно спазване на принципите, разписани в чл.5, пар.1 от същия, така че обемът на данни да бъде изчерпателно определен, достатъчен и ненадхвърлящ целта, за която е необходим.
В писмото на ГД „ГРАО” се изразяват и следните аргументи: разпоредбата на чл.106 от ЗГР указва условията, при които данни от ЕСГРАОН могат да се предоставят, като в ал.1, т.2 от цитираната разпоредба е предвидено, че данни се предоставят на държавни органи и институции съобразно законоустановените им правомощия. Този текст предполага конкретно обвързване на правомощията установени в закон, с предоставянето на данни или достъп до лични данни. За да е налице възможност за предоставяне на или достъп до личните данни на физическите лица, то тази възможност трябва да бъде изрично законово регламентирана, така че законът да установява връзка между упражняването на определени правомощия на държавния орган или институция и необходимостта от предоставяне, за да бъдат упражнени тези правомощия. Министерството на регионалното развитие и благоустройството стриктно тълкува разпоредбата на чл.106, ал.1, т.2 от ЗГР, като изисква наличието на „законоустановено правомощие” на държавен орган или институция– т.е. изрично уредено право на достъп до електронния регистър, което произтича от „законова” разпоредба по смисъла на чл.3, ал.1 и чл.4 от Закона за нормативните актове (ЗНА).
В писмото на ГД „ГРАО” се твърди, че детската градина и училището са институции в системата на предучилищното и училищното образование, съгласно чл.24, ал.1 и чл.25, ал.1 от Закона за предучилищно и училищно образование (ЗПУО). В тази връзка приложение би могла да намери хипотезата на чл.106, ал.1, т.2 от ЗГР, доколкото това са институции в системата на образованието. Но в ЗПУО не се съдържа изрично предвидена законова възможност, която да указва предоставяне на лични данни на физическите лица от поддържаните електронни регистри на МРРБ чрез ГД „ГРАО”, за целите и работата на общинските системите за прием и в този смисъл, не е налице изрично предвидена законова възможност за предоставяне на или достъп до данните.
В допълнение се посочва, че изискване за наличието на нормативно основание за достъп до регистри/справки/полета е залегнало и в чл.10 от Общите условия за достъп до данни от регистрите на държавната администрация в Средата за междурегистров обмен (RegiX), администрирана от Държавна агенция „Електронно управление” (ДАЕУ).
Според ГД „ГРАО” посочените по-горе разпоредби не указват възможност за предоставяне на достъп до лични данни, но необходимостта от тяхното предоставяне е видна. Постъпването на децата в детската градина и постъпването на деца за предучилищно образование се осъществява целогодишно (чл.57, ал.4 от Закон за предучилищното и училищното образование и чл.6 от Наредба №5 от 3юни 2016г. за предучилищното образование), което обуславя необходимост от актуална информация нееднократно.
Предвид изложеното и с оглед спецификата на личните данни и особената закрила, която законодателството урежда по отношение на тях, от ГД „ГРАО” молят КЗЛД да изрази становище относно наличието на правна възможност за предоставяне на данни и достъп до такива, съдържащи се в регистъра на населението- Национална база данни „Население” на общинските администрации във връзка с приема на деца в ясли, детски градини/предучилищни групи и ученици в първи клас в общински детски градини и училища.
Правен анализ:
Безспорен факт е, че конкретният казус, свързан с предоставянето на данни от ЕСГРАОН на общинските администрации във връзка с приема на деца в ясли, детски градини/предучилищни групи и ученици в първи клас в общински детски градини и училища, следва да се разглежда и тълкува във връзка с разпоредбата на чл.106, ал.1, т.2 от Закона за гражданската регистрация (ЗГР).
Органите на местното самоуправление са определени, като органи за управление по смисъла на Глава тринадесета от Закона за предучилищното и училищното образование (ЗПУО). Съгласно чл.256, ал.1 от ЗПУО те осигуряват и контролират изчерпателно изредени дейности на определена територия, съобразно териториалната си компетентност. Посочената разпоредба очертава правомощията на органите на местното самоуправление, като органи на управление във връзка с предучилищното и училищното образование. По своята същност това са властнически правомощия, възложени им по силата на ЗПУО, които очертават тяхната компетентност в разглежданата област. Следва да се има предвид, че ЗПУО урежда обществените отношения, свързани с осигуряване на правото на предучилищно и училищно образование, както и с устройството, функциите, организацията, управлението и финансирането на системата на предучилищното и училищното образование. ЗПУО няма за цел да урежда правила и да създава допълнителни основания за обработване на лични данни, тъй като същите са изчерпателно изредени в чл.6, пар.1 и чл.9, пар.2 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД).
От своя страна, Законът за гражданската регистрация (ЗГР) е нормативният акт, уреждащ условията и реда за гражданската регистрация на физическите лица в Република България. Тя включва съвкупността от данни за едно лице, които го отличават от другите лица в обществото и в семейството му в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес и др. (чл.1, ал.1 и 3 ЗГР). Доколкото в конкретния случай се касае за лични данни, свързани с гражданската регистрация, разпоредбите на ЗГР се явяват специални по отношение на предоставянето им на трети лица.
Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях. Една от ключовите функции на ЕСГРАОН е да осигурява информационно и административно обслужване на законодателната, изпълнителната и съдебната власт в страната (чл.101, т.6 ЗГР). Именно такъв е и настоящият казус, състоящ се в предоставяне на данни от ЕСГРАОН за целите на упражняването на властнически правомощия1, възложени на общинските администрации по силата на чл.256, ал.1 от ЗПУО.
При така изложените аргументи, основанието за получаване на лични данни от органите на местното самоуправление за посочените по-горе цели е чл.6, пар.1, б.„д”, пр.2 от Регламент (ЕС) 2016/679- упражняването на официални правомощия, които са предоставени на администратора по силата на чл.256, ал.1 от ЗПУО, което е и предпоставката да се приложи хипотезата на чл.106, ал.1, т.2 от ЗГР.
За допълнителна яснота се налагат някои принципни уточнения. Компетентността на органите на управление се очертава с кръга от правомощия, които са им възложени по осъществяване на определени държавни функции. Властническият характер на тези отношения дава права и задължения на административния орган по отношение на собствената му дейност, а именно държавното управление. Пример за това в конкретния случай е възложената властническа функция на органите на местното самоуправление да упражняват контрол във връзка с условията и организацията на дейностите в предучилищното образование в общинските детски градини и във връзка с обхвата на подлежащите на задължително предучилищно и училищно образование деца и ученици (арг. чл.256, ал.1, т.1 и 2 от ЗПУО). Регламентирането на правомощията на административния орган предвижда извършването на множество конкретни действия, чрез които непрекъснато и съвкупно се реализира неговата компетентност.
Не може да се сподели позицията за стриктното тълкуване на разпоредбата на чл.106, ал.1, т.2 от ЗГР, да се изисква наличието на „законоустановено правомощие” на държавен орган или институция– т.е. изрично уредено право на достъп до данните от ЕСГРАОН. Във въпросното твърдение има вътрешно противоречие. Публичните органи, като субекти на административното право, имат властнически правомощия, които са свързани с тяхната компетентност в съответна сфера на обществени отношения. В съществена част от случаите, упражняването на правомощия, респективно реализирането на компетентността, е свързано с обработване на лични данни. Нещо повече, обработването на лични данни в определени случаи е необходимо за упражняването на официални правомощия. Това означава, че реализирането на правомощията се обуславя от необходимостта за обработване на определен обем от лични данни, докато в противен случай може да се възпрепятства или да се стигне до невъзможност да се упражнят възложените от закон правомощия (арг. чл.6, пар. 3 от Регламент (ЕС) 2016/679). В този смисъл обработването на лични данни не може само по себе си и самоцелно да е правомощие, то обаче може да е необходим и съществен елемент от сложния фактически състав на упражняването на властническите правомощия. Подобно стеснително тълкуване на смисъла на понятието правомощие, противоречи на Регламент (ЕС) 2016/679, тъйкато води до неприложимост на правното основание за обработване на лични данни по смисъла на чл.6, пар. 1, б.„д”, пр.2 от същия. По аналогия на казаното по-горе, стеснителното тълкуване би довело и до практическа невъзможност за публичните органи да получават данни от ЕСГРАОН, необходими за изпълнение на техните правомощия, тъй като те могат да попаднат единствено в обхвата на хипотезата по т.2 на чл.106, ал.1 от ЗГР. Недопустимо е от публичните органи да се изисква наличието на изрично разписано в нормативен акт задължение/право на достъп до данните от ЕСГРАОН, тъй като подобен подход би разширил както основанията за обработване на лични данни по ОРЗД, така и би бил в противоречие със специалния статут на публичните органи, предвиден чрез ясното разграничение на правните субекти по смисъла на чл.106, ал.1 от ЗГР.
Не на последно място, в настоящия правен анализ заслужава да се акцентира и върху приложното поле на Закона за електронното управление (ЗЕУ), който урежда обществените отношения между административните органи, свързани с работата с електронни документи и предоставянето на административни услуги по електронен път, както и обмена на електронни документи между административните органи. Съгласно разпоредбите на ЗЕУ, административните органи не могат да изискват от гражданите и организациите представянето или доказването на вече събрани или създадени данни, а са длъжни да ги съберат служебно от първичния администратор на данните. Първичният администратор на данни е административен орган, който по силата на закон събира или създава данни за гражданин или организация за първи път и изменя или заличава тези данни (в случая това е ГД „ГРАО” в МРРБ). Нещо повече, ЗЕУ вменява на първичния администратор задължение да изпраща служебно и безплатно данните на всички административни органи, които въз основа на закон също обработват тези данни и са заявили желание да ги получават. Това задължение по смисъла на ЗЕУ напълно кореспондира с възложените с чл.101 от ЗГР функции на ЕСГРАОН, inter alia,осигуряване на информационно и административно обслужване на законодателната, изпълнителната и съдебната власт. В същия дух е и разпоредбата на чл.36, ал.6 от Административнопроцесуалния кодекс (АПК), съгласно която органът, водещ производството по своя инициатива или по искане на страна, изисква от съответните административни органи, органите на съдебната власт, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, в рамките на своята компетентност да издадат и изпратят удостоверения, да изпратят документи, други доказателства или информация, от значение за производството.
В заключение трябва да се отбележи, че обработването на лични данни следва да е предназначено да служи на обществото. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Обработването на лични данни е хоризонтална политика, предназначена да защитава правата на физическите лица при обработването на техните лични данни. Тези общи правила намират приложение във всички сфери на обществено-икономическия живот, включително в административната дейност. Правилното разбиране и точното прилагане на законодателството в областта на защитата на личните данни стои в основата на електронното управление и дигитализацията в най-общия смисъл на понятието. В стратегически план електронното управление и цифровизацията на икономиката са един от основните стълбове на политиката за развитие и устойчивост на ЕС, чиято основана цел е да намали административното бреме за гражданите и организациите и да повиши ефективността на работа на администрацията.
По тези съображения и на основание чл.58, пар.3, б.„б” от Регламент (ЕС) 2016/679 във вр. с чл.10а, ал.1 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
На основание чл.106, ал.1, т.2 във връзка с чл.101, т.6 от Закона за гражданската регистрация и чл.6, пар.1, б.„д”, пр.2 и пар.3 от Регламент (ЕС) 2016/679 Главна дирекция „Гражданска регистрация и административно обслужване” към Министерството на регионалното развитие и благоустройството е длъжна да предоставя на органите на законодателната, изпълнителната и съдебната власт данни, които са им необходими за изпълнение на техните официални правомощия. В конкретния казус това е приложимо и по отношение на органите на местното самоуправление, натоварени с правомощия по чл.256, ал.1 от Закона за предучилищното и училищното образование (ЗПУО), за чието упражняване е необходимо да получат данни от ЕСГРАОН, под формата на персонализирани справки за конкретни лица, с цел да им се предоставят административни услуги.
1 С решение № 21 от 14.11.1996 г., по к. д. № 19 от 1996 г. (обн., ДВ, бр. 102 от 29.11.1996 г.) Конституционният съд на Република България приема, че „основен, същностен белег на държавния орган е наличието на властнически правомощия, които по своето съдържание включват автономна директивна дейност на органа (като елемент от неговата обща компетентност), правото му да издава задължителни по своя характер предписания във формата на общи или индивидуални задължителни актове“.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Веселин Целков /п/ |
