Становище на КЗЛД по въпроси, свързани със създаването и поддържането на регистър на лицата по чл. 10в, ал. 3 от Закона за хазарта

ОТНОСНО: Искане за изразяване на становище по въпроси, свързани със създаването и поддържането на регистър на лицата по чл.10в, ал.3 от Закона за хазарта (ЗХ), осигуряване на достъп до данните в регистъра на служители, определени от организаторите на хазартните игри (ОХИ), както и предприетите от НАП организационни и технически мерки за защита на данните, съдържащи се в регистъра

Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 15.03.2023г., разгледа писмо с вх. №ПНМД-01-20/10.03.2023г. от изпълнителния директор на Националната агенция за приходите. В писмото се посочва, че по силата на законови промени в ЗХ (изм. и доп.ДВ. бр.69 от 4Август 2020г.), на Националната агенция за приходите (Агенцията, НАП) е възложено да създаде и поддържа Регистър на лица, които смятат, че имат проблем с хазарта и/или чието социално положение и/или равнище на доходи може да ги направи по-податливи към участие в хазартни игри и развиване на хазартна зависимост. Целта е да се намалят или избегнат потенциални негативни икономически, социални и личностни последици за уязвими лица и техните близки. Регистърът е предвидено да съдържа имена по документ за самоличност, единен граждански номер (ЕГН) или личен номер на чужденец (ЛНЧ), дата на вписване и период на вписване, ако такъв е посочен, като по силата на чл.10г, ал.4 от ЗХ същият не може да бъде по-кратък от две години. Вписването се извършва въз основа на писмено искане по образец, подадено от лицето или негов представител до изпълнителния директор на НАП. В чл.10г, ал.5 от ЗХ е регламентиран редът и начинът на заличаване от регистъра.

Малко след влизане в сила на посочените по-горе изменения и допълнения на ЗХ, влезе в сила нова нормативна промяна в ЗХ, внесена с §91, ал.2 от Преходните и Заключителни разпоредби към Закона за изменение и допълнение на Закона за данък върху добавената стойност (ЗИД на ЗДДС), обн., ДВбр.104 от 08.12.2020г., в сила от 01.01.2021г., въвеждаща мораториум за прилагане на изискванията на чл.10г и чл.10д от ЗХ за период от 24 месеца, считано от влизане в сила на закона. С въведената нормативна промяна се отлага прилагането на изискванията на чл.10г и чл.10д от ЗХ за периода от 12.12.2020г. до 12.12.2022г. включително.

В искането се посочва, че регистърът съдържа лични данни от категорията на имена по документ за самоличност и идентификатор на лицата. С оглед на контекста, в който данните ще бъдат обработвани, въз основа на същите могат да бъдат направени индиректно предположения за актуално или бъдещо здравословно състояние на субектите. Към момента липсва легална дефиниция на понятията „уязвимост” и „хазартна зависимост”. Съгласно публикувана информация на официалната интернет страница на Министерство на здравеопазването, посочените понятия са свързани с поведенческа зависимост, определени патологични разстройства, зад които нерядко се крият психологически причини, като например „скрита депресия”. В този контекст, разглежданите категории данни могат да бъдат индиректно съотнесени към специалните категории лични данни по смисъла на чл.9,пар.1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27Април 2016г. относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защита на данните (ОРЗД) и по-конкретно– въз основа на обработването на лични данни на вписаните в регистъра лица, съобразно конкретния контекст, могат да бъдат направени предположения за актуалното или бъдещото здравословно състояние на субектите на данните и специфични личностни особености, включително е възможно при недобросъвестно обработване на данните да бъдат оценени определени лични аспекти на субектите, свързани с икономическото им състояние, лични предпочитания, интереси, надеждност, поведение, включително да бъде нарушено правото на неприкосновеност на личния живот и достойнство на лицата, да настъпят сериозни неимуществени вреди за същите като например: дискриминация, изолация на субектите от определени социални общности, накърняване на тяхната репутация и др. В тази връзка НАП, в качеството си на първичен администратор на данните в регистъра, предприема редица действия по планиране и въвеждане на организационни и технически мерки за защита на посочените данни, част от които са, както следва:

1. Преди започване на дейностите по обработване е извършена Оценка на въздействието върху защитата на данните (ОВЗД), която се актуализира периодично, и в чиито рамки са идентифицирани възможни рискове за субектите на данни и планирани/предприети мерки за тяхното минимизиране, като не е отчетен висок остатъчен риск за лицата;

2. Прозрачност и информираност на субектите на данни и ОХИ– Агенцията периодично публикува актуална информация на официалната си интернет страница, съдържаща разбираеми разяснения относно функционирането на регистъра, реда и начина за вписване на лицата в същия, правата на субектите на лични данни, реда и начина за подаване на жалби и сигнали пред администратора НАП или Комисията за защита на личните данни при съмнения за нарушения при обработването на лични данни, задължения и отговорности на ОХИ, реда и начина за достъпване на данните и др. От НАП отбелязват, че с оглед постигане на пълна информираност на ОХИ за въведените мерки за защита на данните в регистъра, реда и начина за достъпване на данните и др., с представители на съответния бранш са организирани и проведени няколко срещи с разяснителен характер. В допълнение, проведена е и широка информационна кампания чрез средствата за масово осведомяване посредством специално разработени за целта разяснителни клипове;

3. Процесът по събиране на данни за лицата посредством подадени от тях или техни представители искания до НАП за вписването им в регистъра, по-нататъшното записване, структуриране и съхранение на данните в регистъра от страна на НАП, е обособено като самостоятелна дейност по обработване на лични данни, като същата е вписана по надлежния ред в Регистъра на дейностите по обработване, за които НАП отговаря, съгласно чл.30, т.1 от ОРЗД;

4. Планирани и предприети са мерки по недопускане вписването на лица, които не са изразили волята си за това, тъй като подобно обработване на данни би могло да се категоризира, като незаконосъобразно и съществува риск от ограничаване на права на конкретните физически лица (недопускането им до участие в хазартни игри), риск от уронване на престижа и доброто им име, др.;

5. Със заповед на изпълнителния директор на НАП е утвърден образец на искане за вписване и образец на искане за заличаване от регистъра, включително е определен ограничен кръг от длъжностни лица от НАП с право на достъп до данните в регистъра;

6. Предприети са подходящи организационни и технически мерки за защита на данните в процеса на тяхното съхранение на хартиен носител (входирани искания за вписване или заличаване от регистъра) и в електронната база данни на Агенцията, които детайлно са описани в извършената ОВЗД и в изготвените и утвърдени Технически изисквания за разработване на електронна услуга за достъп до регистъра по чл.10 г, ал.1 от ЗХ;

7. Обсъден е въпросът за определяне на срокове за съхранение на данните в регистъра, в т.ч. след изтичане на срока за вписване на лицата или след подадени искания за заличаване от регистъра, когато е изтекъл нормативно определеният минимум за вписване в регистъра от 2години;

8. Други.

По-нататък в писмото на НАП се посочва, че с оглед постигане на баланс между спазване на законовото задължение, което се прилага спрямо НАП да уведомява организаторите на хазартни игри за лицата, вписаните в регистъра, съгласно чл.10д, ал.1 от ЗХ, от една страна, недопускане реализирането на имуществени или неимуществени вреди на лицата, както и с оглед изпълнение на нормативното изискване в чл.10д, ал.2 от ЗХ достъп до данните в регистъра да имат само определени от ОХИ техни служители от друга страна, НАП е реализирала възможност за извършване на справка от ОХИ относно наличието на вписано в регистъра лице под формата на електронна услуга, достъпна с КЕП в Портала за електронни услуги на НАП (U2S-интерфейс потребител-система) и/или приложен програмен интерфейс във вид на уеб-сървис (S2S-интерфейс система-система). Достъпът до услугата е ограничен до всички юридически лица с издаден активен лиценз за организиране на хазартни игри и упълномощените от тях служители. За целите на предоставяне на достъп до услугата се правят автоматизирани проверки дали юридическото лице– ОХИ е със статус „регистриран”, има поне един запис със статус „активен” за лиценз по ЗХ и дали упълномощеното лице е с активно заявление за достъп до тази услуга. Проверката се изпълнява при всяко достъпване на услугата и в случай, че ОХИ вече няма активен лиценз или не е със статус „регистриран” или няма активно заявление за достъп до електронните услуги на НАП, тогава достъпът до услугата не се разрешава. По отношение на уеб-сървисът, наред с някои от посочените по-горе изисквания за електронната услуга, се извършва и проверка дали използваният токен (софтуерен ключ) за достъп е активен, като е дефиниран процес по заявяване, издаване и предоставяне на упълномощени представители на ОХИ на токен, на място в ЦУ на НАП с подписване на приемо-предавателен протокол.

От НАП уточняват, че при извършваната проверка на въведения идентификатор, в случай, че същият е вписан в регистъра (пълно съвпадение на идентификатор), се визуализира съобщение, че лице с идентификатор 111111**** и имена Х. Y. Z (Х– инициал на собствено име, Y– инициал на презиме, Z– инициал на фамилия) към дата …… (системната дата) е вписано в Регистъра по чл.10г от ЗХ. Визуализирането на данни за инициал на собствено, бащино и фамилно име на вписаното в регистъра лице ще предостави възможност на организаторите за самоконтрол относно достоверността на въведения идентификатор (че справката е коректно извършена по отношение на конкретно лице, заявило участие в хазартни игри), но същевременно минимизира риска за проверявания субект в случай на нарушение на сигурността на личните му данни. В случаите, в които за проверяваното лице посредством въведен негов идентификатор няма данни същото да е вписано в регистъра, пред оторизирания потребител на справката се визуализира единствено частично замаскиран идентификатор, но не и инициали на имената по документ за самоличност.

В искането се допълва, че в Техническите изисквания детайлно са разгледани въпроси, свързани с опазването на информацията и осигуряване на мрежова и информационна сигурност.

Във връзка с въведените от НАП организационни и технически мерки за защита на данните в регистъра, в Агенцията постъпват запитвания и предложения от ОХИ, които предполагат различно тълкуване на чл.10д, ал.1 от ЗХ. Според част от изразените мнения, задължението за НАП да „уведомява организаторите на хазартни игри за лицата, включени в регистъра по чл.10г, ал.1” следва да се тълкува като осигуряване на своевременен достъп до пълния списък с вписани в регистъра лица. Пред НАП е повдигнат въпросът относно възможността Агенцията да изпраща по електронен път данни за вписаните лица на електронните адреси на предварително определени от ОХИ служители. Позицията на НАП е, че по този начин ще бъдат нарушени принципите, прокламирани в чл.5, т.1 от ОРЗД и преди всичко принципа на „свеждане на данните до минимум”, тъй като по този начин всеки един ОХИ ще обработва данни на вписани в регистъра субекти, част от които потенциално няма да са заявили участие в хазартни игри, респективно няма да е налице възникнала конкретна цел, за която данните да бъдат обработвани. В случая, целите на обработване следва да се отъждествяват с конкретно заявено участие до хазартна игра от конкретно физическо лице. Като аргумент за целесъобразността от изпращане на пълния списък с вписани в регистъра лица, който да е наличен при определените от ОХИ служители, е изтъкната хипотезата за възможни евентуални възникнали технически проблеми, водещи до възпрепятстване на комуникацията между системите на ОХИ и внедрените услуги от НАП за проверка на лицата в регистъра. От НАП считат, че посоченият аргумент е неоснователен с оглед на факта, че данните за вписаните в регистъра лица не са константна величина и се променят ежедневно. Агенцията е на мнение, че подобен подход би възпрепятствал администрацията да осигури своевременно актуализиране на данните, ще изиска непропорционално разходване на времеви и човешки ресурс, а така също няма да е възможно да се осигури от страна на ОХИ своевременно изтриване на данни или тяхното коригиране при установена неточност.

На 16.01.2023г. в ЦУ на НАП постъпва по електронен път писмо (Приложение №1) от „Сдружение на организаторите на хазартни игри и дейности в България” (СОХИДБ), ЕИК 206074080, с което са изложени допълнителни аргументи, целящи да бъдат омаловажени предприетите от НАП организационни и технически мерки за достъп до данните в регистъра и тяхната защита, като са предложени алтернативни начини за предаване на данните от регистъра. Предложението на СОХИДБ е свързано с използването на техническо решение от типа „хеш функция”- на Агенцията е предложено при предоставяне на информацията към ОХИ да преобразува личните данни на лицата включени в Регистъра в изходен низ, т.е. да ги хешира и в този преобразуван вид, да ги предоставя за проверка на организаторите на хазартни игри. В допълнение е посочено, че функцията е еднопосочна, като не позволява възстановяване на изходните данни от хеш стойностите, т.е. организаторите на хазартни игри няма да имат практическа възможност да извлекат личните данни на лицето от предоставената им хеш стойност. ОХИ ще имат задължението да използват идентично техническо решение (софтуер) изпълняващо хеш функция, което при въвеждане на личните данни на потенциалния клиент да получават хеш стойност. В случай, че получената хеш стойност е идентична с хеш стойността, която е предоставена от НАП, то това означава, че лицето е включено в Регистъра и същото няма да бъде допуснато до организираната игра. И обратното, липсата на съвпадение означава, че лицето не е включено в Регистъра и може да бъде допуснато до игра.

Във връзка с отправеното предложение за хеширане на данните от регистъра НАП подчертава, че подобен технически подход единствено би защитил данните при тяхното предаване от НАП на ОХИ, но би бил отново в разрез с принципите, прокламирани в чл.5, т.1 от ОРЗД. В допълнение от НАП излагат мотиви, че при хеширането на ЕГН-тата в регистъра, създаден и поддържан от НАП, във връзка с неговото изпращане към всички ОХИ, съществува хипотеза, при която ОХИ биха били в състояние да хешират всички ЕГН-та, съдържащи се в алтернативни бази данни (на всяко ЕГН ще съответства точно определен хеш) и да проверяват всички лица от тях, относно това дали са вписани в регистъра, независимо дали проверяваните към даден момент лица са заявили конкретното си желание за участие в хазартна игра или не, респективно могат да бъдат проверявани и субекти, които не са клиенти на съответния ОХИ към определен момент.

В изпратеното на 16.01.2023г. писмо до НАП, СОХИДБ допълнително посочват, че при извършване на справки в регистъра на уязвимите лица посредством електронната услуга или S2S-интерфейса „система-система”, от страна на ОХИ, ще е налице процес по обработване на голям брой идентификатори на заявили участие в хазартни игри физически лица. Тъй като за извършване на съответните справки е необходимо идентификаторите да бъдат въведени във формата за търсене на съответната услуга, то по този начин, според изложеното становище от ОХИ, това би довело до незаконосъобразно обработване на голям брой идентификатори на физически лица, тъй като „ноторно известно е, че по-голямата част от посетителите на игралните зали и казината не са включени в регистъра на уязвимите лица”. ОХИ допълват, че „така чувствителни лични данни (за това, че посещават игрални зали и казина) за неограничен кръг лица биха били споделени с администрацията и евентуални пропуски в сигурността биха довели до това да стане достояние на обществеността обстоятелството, че дадено лице посещава игрални зали и казина”.

От Агенцията смятат, че изложените аргументи от страна на ОХИ са неоснователни, тъй като на първо място, задължението на ОХИ да идентифицират своите клиенти, в това число да администрират база данни за имена и идентификаторите на лицата, е тяхно законово задължение. Следва да се има предвид, че съгласно чл.74, ал.1 от ЗХ всички посетители в игралното казино се вписват в специален регистър по образец, утвърден от изпълнителния директор на НАП. Регистърът се води на хартиен и електронен носител. Наред със задълженията на ОХИ в качеството им на субекти по смисъла на Закона за мерките срещу изпирането на пари и Закона за мерките срещу финансирането на тероризма, са в пряка връзка със законово вменените контролни правомощия на Агенцията, респективно да осъществява мониторинг върху ОХИ относно спазване от тяхна страна на законовото задължение за проверка на лица, заявили желание за участие в организирани хазартни игри, относно фигурирането им в регистъра. С други думи, алтернативните и предложени от ОХИ начини за предоставяне на данни от регистъра или осигуряване на достъп до същия не биха осигурили възможност за контролния орган НАП да удостовери в пълнота дали в действителност се извършват проверки на лицата. НАП допълва, че посочената категория данни не представлява „чувствителни лични данни”, както СОХИДБ сочат в своето писмо, още повече не представлява и защитена от закона информация извън рамката на законодателството за защита на личните данни. Агенцията е на мнение, че подобно обработване на лични данни от нейна страна би било напълно законосъобразно при условията, регламентирани в чл.6,пар.1, б.„д” от ОРЗД, а именно– при осъществяване на официални правомощия, които са предоставени на Агенцията. На следващо място следва изрично да се подчертае, че в качеството си на първичен администратор на личните данни на физическите лица, които са заявили желанието си да бъдат вписани в регистъра по чл.10 г, ал.1 от ЗХ, НАП следва самостоятелно да определи критериите за достъп до данните в регистъра при съблюдаване на действащото законодателство в областта на защитата на личните данни. Именно в този контекст са и мотивите към предложението за изменение и допълнение на ЗИД на ЗДДС, с което се налага мораториумът, вх. №054-04-249/13.11.2020г. по описа на Народното събрание на Република България (Приложение №2), а именно: „От една страна НАП следва да създаде този регистър и да предостави достъп до него на Организаторите, като обаче определи реда и начина за това, при това като едновременно се осигури неговата цялост и сигурност (…) осигурява се опазване на личните данни на субектите в него при съблюдаване на законодателството в областта. Следва да бъде предвиден и ред за установяване спазването на това изискване от Организаторите, защото не бива да се разчита нито само на тяхното добросъвестно поведение, нито на това на участниците (…). Създаването от Организаторите на системи за идентификация на лица, които са включени в регистъра, особено при участието им в хазартна игра, предлагана по наземен път, изисква допълнителна инвестиция в подходящ за целта Софтуер, което следва да се предвиди, осигури и реализира от икономическите оператори” (вж. стр.27-29 от Приложение №2). От изложените мотиви е видно, че именно НАП е правоимащата страна да определи реда и начина за достъп до регистъра, същият се достъпва, а не администрира от ОХИ, не се разкрива в неговата цялост и се администрира именно от страна на Агенцията, като достъп до данните в него би следвало да се осигури на определените от изпълнителния директор на НАП длъжностни лица и на служителите, определени от ОХИ по повод на възникнала конкретна цел, като разкритите данни задължително да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които същите ще се обработват.

Във връзка с гореизложеното, от НАП молят КЗЛД да изрази становище по отношение на следния въпрос:

Отчитайки изискванията на чл.10д, ал.1 и ал.2 от ЗХ, както и принципите за обработване на лични данни, прогласени с чл.5 от ОРЗД, допустимо ли е НАП да предоставя на ОХИ предварителен, пълен и неограничен достъп до данните в целия регистър или НАП следва да осигури единствено възможност за проверка на конкретно физическо лице, заявило желание за конкретно участие в хазартни игри при конкретен ОХИ?

1. Писмо от „Сдружение на организаторите на хазартни игри и дейности в България” (СОХИДБ)– електронен формат, съдържа 4стр.

2. Мотиви към предложението за изменение и допълнение на ЗИД на ЗДДС, вх. №054-04-249/13.11.2020г. по описа на Народното събрание на Република България– ксерокопие, съдържа 30 стр.

По силата на чл.10 г, ал.1 от ЗХ Националната агенция за приходите създава и поддържа регистър на лицата, които по тяхно желание искат да не бъдат допускани до участие в хазартни игри, вкл. онлайн такива, организирани от ОХИ. Регистърът съдържа следната информация:

1. имена по документ за самоличност;

2. единен граждански номер (ЕГН) или личен номер на чужденец (ЛНЧ);

3. период на вписване, ако такъв е посочен;

4. дата на вписване.

Видно от правната регламентация на регистъра, може да се направи обосновано заключение, че същият представлява и „регистър с лични данни” по смисъла на чл.4, т.6) от ОРЗД, а именно – структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип. Този факт обуславя приложимостта на ОРЗД, доколкото чрез регистъра се обработват лични данни (арг. чл.2 от ОРЗД).

За да е законосъобразно обработването на лични данни е необходимо наличието на поне едно от основанията, посочени в чл.6,пар.1 и/или чл.9,пар.2 от ОРЗД, както и спазването на прогласените с чл.5 от ОРЗД принципи за обработване на лични данни.

В съответствие с принципите личните данни следва да са:

• обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност”);

• събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; … („ограничение на целите”);

• подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум”);

• точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност”);

• съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; … („ограничение на съхранението”);

• обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност”);

Наред с това администраторът носи отговорност и трябва да докаже спазването на посочените по-горе принципи (т. нар. „отчетност”).

ЗХ предоставя правните основания за обработването на личните данни, съдържащи се в регистъра по чл.10г от закона както за НАП, така и за ОХИ. НАП обработва данните по повод упражняване на своите законоустановени правомощия (по чл.6,пар.1, б.д), пр. 2 от ОРЗД), а ОХИ ги обработват за целите на спазването на свое нормативно задължение (по чл.6,пар.1, б.в) от ОРЗД). В съответствие с принципа за прозрачност при обработването на лични данни администраторите– съответно НАП и ОХИ, имат задължение да предоставят информация на субектите на данни (лицата, заявили участие в хазартни игри), предвидена в чл.13 и спазвайки условията на чл.12 от ОРЗД.

Един от реквизитите на тази информация е и срокът, за който ще се съхраняват личните данни. По правило той трябва да е подходящ и не по-дълъг от необходимото за постигане на целите, за които се обработват. НАП и ОХИ трябва да предвидят подходящ срок за съхранение на данните и след заличаването им от регистъра. Той следва да е обусловен от преклузивните срокове за упражняване на правата на субектите на данни, произтичащи както от ОРЗД, така и от друго специално секторно законодателство.

НАП и ОХИ обработват личните данни за различни цели, които произтичат от ЗХ. Следва да се има предвид обаче, че администратор на лични данни в регистъра по чл.10г от ЗХ е НАП. При спазване на ЗХ и нормативните изисквания за защита на личните данни ОХИ трябва да имат само достъп до данните от въпросния регистър, администриран от НАП. Систематично тълкуване на правните норми на чл.10д, ал.1 и ал.2 от ЗХ показва, че ОХИ имат право да бъдат уведомявани от НАП единствено за конкретно физическо лице, заявило желание за конкретно участие в хазартни игри при конкретен ОХИ. Това произтича от общите принципи на законодателството за защита на личните данни. Предварителният, пълен и неограничен достъп до данните в целия регистър би представлявал сериозно нарушение на принципите за защита на личните данни, поради потенциалната възможност от обработване на данните на трети лица, различни от конкретно явилите се при съответното ОХИ и заявили участие за конкретни хазартни игри. Нарушението на принципите за обработване на лични данни и липсата на правно основание са скрепени с по-високите санкции, въведени с чл.83,пар.5, б.а) от Регламент(ЕС) 2016/679.

Получаването и поддържането на паралелни регистри при ОХИ, от една страна, не отговаря на целите, регламентирани със ЗХ (недопускане на конкретни лица, вписани в регистъра, до конкретни хазартни игри при конкретен ОХИ в конкретен момент), а от друга– би представлявало обработване на лични данни от ОХИ без правно основание.

Нещо повече, поддържането на паралелни регистри при ОХИ, не гарантира по никакъв начин, че същите са точни и актуални към конкретния момент, в който даденото лице заявява участие в хазартни игри, като това води до нарушение както на ЗХ, така и на принципа за точност на данните и принципа за отчетност– задължение, произтичащо от законодателството за защита на данните.

Отчитайки установените в ЗХ условия за достъп до данните в регистъра и факта, че НАП администрира същия, то именно единствено Агенцията има правомощието и носи отговорността да определи техническите и организационни мерки за защита на данните, в частност на фактическия достъп до него. Това се обуславя също така и от задължението на администратора- НАП да извърши оценката на риска и съответно оценката на въздействието върху защитата на данните, обработвани в регистъра.

Принципно положение в законодателството за защита на данните е, че исканията за разкриване на данни, освен че трябва да са съобразени с целите на обработването, следва винаги да бъдат обосновани и да засягат само отделни случаи и не трябва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни. Това разбиране намира израз и в трайната практика на КЗЛД по въпросите за достъп до регистри, създавани и поддържани от публичните органи. Така например, КЗЛД има правомощие да разрешава предоставянето на данни от ЕСГРАОН на български и чуждестранни юридически лица по реда на чл.106, ал.1, т.3, пр.3 от Закона за гражданската регистрация. Предоставянето на такива данни се осъществява по искания на юридическите лица на справка за конкретно лице, за което е възникнала необходимост. Според практиката на КЗЛД пълен и неограничен достъп до регистри, поддържани от публични органи е недопустим.

По отношение на повдигнатите въпроси относно проверяването на голям брой лица в регистъра по чл.10г от ЗХ и получаването в НАП на техните лични данни, трябва да се има предвид, че това е предвидено и е допустимо от законодателството. В този смисъл, освен право, НАП има и задължение да обработва въпросните лични данни, както за целите на ЗХ, така и за други законови цели, свързани с данъчното облагане и мерките срещу изпирането на пари.

По аналогия с въведените от НАП мерки за защита на личните данни, ОХИ също трябва да предприемат подходящи и адекватни действия по привеждане на обработването на лични данни в съответствие с изискванията, произтичащи от законодателството за защита на данните.

В допълнение и за пълнота на изложението, следва да се има предвид, че нарушенията на законодателството за защита на личните данни могат да бъдат докладвани и по реда на новоприетия Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН).

Настоящият правен анализ е базиран изцяло на трайната практика на КЗЛД, свързана с обработването на лични данни, на съдебната практика по жалби със сходен предмет, както и на насоките и становищата на Европейския комитет по защита на данни (ЕКЗД) в тази посока. Изразеното становище има единствено, принципен, консултативен характер за администратора/обработващия лични данни при прилагане на относимите правни норми, без да поражда права и/или задължения за заинтересованите страни, тъй като се базира само на посочените в искането обстоятелства. То не ограничава КЗЛД да разгледа всяка жалба или сигнал, свързани с предмета му. Съгласно Регламент (ЕС) 2016/679 администраторът на лични данни сам или съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да съответстват на законодателството за защита на личните данни. Той трябва да е в състояние да докаже това. За предприетите от администратора, съвместните администратори или обработващия действия по обработване на данните, се прилагат както правилата на отчетност, прозрачност и добросъвестност, така и разпоредбите, отнасящи се до ангажиране на административнонаказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях дейности по обработване на лични данни.

По тези съображения и на основание чл.58,пар.3, б.„б” от Регламент (ЕС) 2016/679 във вр. с чл.10а, ал.1 от Закона за защита на личните данни и чл.51, т.2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

В изпълнение на изискванията на чл.10д, ал.1 и ал.2 от Закона за хазарта, както и на принципите за обработване на лични данни, прогласени с чл.5 от Регламент (ЕС) 2016/679, НАП следва да предоставя на ОХИ единствено възможност за проверка на данните на конкретно физическо лице, заявило желание за конкретно участие в хазартни игри при конкретен ОХИ.

Предоставянето на ОХИ на предварителен, пълен и неограничен достъп до данните в целия регистър, поддържан от НАП, противоречи на принципите за обработване на лични данни.