Становище на КЗЛД във връзка с предоставяне на цялата база данни на търговския регистър и актуализация на обстоятелствата по чл. 2 от Закона за търговския регистър и Наредба № 1 от 14 февруари 2007 г. за водене, съхраняване и достъп до търговския регистър

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 21.01.2015год., разгледа искане с вх.П-386/15.01.2015год. от Венцислав Спиридонов– Изпълнителен директор на Агенция по вписванията. В искането се посочва, че с изменение на Тарифата за държавните такси, събирани от Агенция по вписванията (ПМС №427 от 18.12.2014год.) и по-конкретно чл.16д, в сила от 01.01.2015год., за предоставяне на цялата база данни от търговския регистър и актуализация на обстоятелствата в нея, се събира годишна такса в размер на 100лева, а не както до момента 30000 лева.

Съгласно чл.133, ал.4 от Наредба №1 от 14 февруари 2007г. за водене, съхраняване и достъп до търговския регистър, редът и начинът за предоставяне на услугата се определят в Общи условия, определени от Агенция по вписванията (АВ).

С оглед на посоченото обстоятелство и предвид множество искания за получаване на базата данни на търговския регистър, е актуализиран проектът на договор, който се сключва в тези случаи, като са добавени нови клаузи, както следва:

– В чл.1 се добавя нова алинея 2, с която се предвижда ограничение във времето за изтегляне на сканирани изображения на документи от предоставените линкове по т.1 от договора, като се вменява задължение на възложителя по договора да извършва тези действия извън работно време.

– В чл.8, ал.1 се добавя текст, задължаващ възложителя по договора да не предоставя получените от АВ база данни на трети лица, като се предвижда санкция при установяване на противното– спиране на достъпа за срок от датата на недобросъвестното предоставяне до същата дата на следващата календарна година.

– В чл.8, ал.3 от договора се предвижда, че Възложител по този договор може да е само администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни, който е вписан в регистъра на администраторите на лични данни и на водените от тях регистри на лични данни.

Причината Агенция по вписванията да направи описаните изменения в договора е, че като администратор на лични данни, е длъжна да спазва нормативните предпоставки и принципите за обработване на лични данни, като в конкретния случай става въпрос за обработване на лични данни от голям кръг лица, които ще имат възможност автоматизирано да изтеглят информация, съдържаща имена, единни граждански номера и друга информация, представляваща лични данни по смисъла на Закона за защита на личните данни (ЗЗЛД).

Предвид посоченото, преди сключване на договор, АВ поставя изискване към бъдещите възложители да предоставят удостоверяващ документ, че отговарят на изискванията за „високо ниво на въздействие– високо ниво на защита“ по смисъла на Наредба №1 от 30 януари 2013 година за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, чрез използване на автоматизирана информационна система за обмен на данни.

Във връзка с публикувания актуализиран проект на договор, на страницата на АВ са постъпили запитвания от граждани относно поставеното изискване в проекта на договор и по-конкретно, че в чл.8, ал.3 и 4, съгласно койтовъзложителят следва да бъде регистриран като администратор на лични данни и трябва да представи документ за висока степен на защита на личните данни. В запитванията се обръща внимание на факта, че не е предвидена възможността, в която Комисията за защита на личните данни освобождава администратора от регистрация, поради това, че обработва данни, достъпни свободно в публичен регистър, какъвто е Търговският регистър, чрез интернет сайта си.

С оглед изложеното, Изпълнителният директор на АВ се обръща към Комисията за защита на личните данни (КЗЛД) за становище по следните въпроси:

1. Необходимостта от включване на изискване за „високо ниво на въздействие– високо ниво на защита“ по смисъла на Наредба №1 от 30 януари 2013 година за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, чрез използване на автоматизирана информационна система за обмен на данни.

2. Във връзка с подробно изложения казус, какви мерки е необходимо да предприеме Агенция по вписванията, за да защити данните от незаконосъобразно или недобросъвестно обработване от страна на лицата, желаещи да се възползват от възможността за автоматизирано предоставяне на цялата база данни на Търговския регистър.

Приложения към искането за становище:

– Приложение №1 – подробно описание на данните, които Агенция по вписванията предоставя, съгласно чл.2 от Закона за търговския регистър;

– Приложение №2 – проект на договор, публикуван на интернет страницата на Агенция по вписванията.

В представеното Приложение №1 е разписан подробно механизмът за автоматизирано предоставяне на базата данни на търговския регистър:

Търговският регистър е изцяло електронен регистър. В базата данни се съхранява информация за делата на регистрираните търговци за безсрочен период от време. Делата са разпределени в партиди. В базата данни се съдържат данни за близо 700000 партиди. Информацията в партидите се съхранява в структуриран вид и във вид на цифрови изображения (сканирани документи– договори за управление, дружествени договори, протоколи от общи събрания и др.). Събираната информация, засягащи лични данни, е разпределена по следния начин:

А/ Задължителна информация:

– Три имена

– ЕГН/ЛНЧ или дата на раждане (за нямащите ЛНЧ и ЕГН)

Б./ Незадължителна информация (често е попълвана)

– място на раждане (населено място и държава)

– постоянен адрес

– документ за самоличност (номер, дата на издаване, издател)

– адреси за кореспонденция

– електронна поща

– телефонни номера

Цифровите (сканираните) документите са в свободен текст и в зависимост от случая за който се отнасят, освен обичайните лични данни (имена, ЕГН, адреси), се съдържат и сканирани подписи на лицата.

Мерките, които е предприела Агенция по вписванията относно защитата на личните данни при ползване на публичния достъп до електронния регистър (brra.bg) са следните:

I. По отношение задължителните структурирани данни– ЕГН-тата не се появяват или са запълнени със символа „*”

II. По отношение на сканираните изображения– достъпът на потребителя се регистрира, чрез използване на квалифициран електронен подпис (КЕП) или цифров сертификат, издаден от агенцията.

В искането се посочва, че практиката при предоставянето на цялата база данни, чрез автоматизиран достъп, е следната:

– Желаещият подава заявление за получаване на достъп. Желаещите могат да бъдат без ограничение всякакви субекти – физически лица, български дружества, чуждестранни дружества, клонове и др. Единственото изискване е заплащане на такса и техническа възможност.

– След получаване на заявлението се сключва договор между АВ и Възложителя– (бланковото съдържание на договора е обявено на страницата на Агенцията).

– Възложителят заплаща определената по тарифа такса.

– Възложителят получава еднократно цялата структурирана информация за търговците от 2008год. (създаването на ТР) до момента на подписване на дискове във вид на файлове в XMLформат. В подаваната информация се съдържат незаличени всички задължителни и нездължителни лични данни описани по-горе, както и електронни адреси (линкове) до сканираните изображения. До момента това са приблизително 700 000 партиди на търговци с още по-голям обем от лични данни.

– Възложителят, осигурявайки си технологична възможност, започва да получава по абонамент автоматизирано (в on-lineрежим) всяка една промяна по партидите на търговците.

Предоставянето на цялата база данни по автоматизиран път е разписано в чл.12, ал.1, т.6 от Закона за търговския регистър и е развито в чл.113 от Наредба №1 от 14 февруари 2007г. за водене, съхраняване и достъп до Търговския регистър.

Радикалната реформа по отношение на търговската регистрация, воденето, съхраняването и достъпа до търговския регистър, реализирана чрез приемането през 2006 година на Закона за търговския регистър (ЗТР), в сила от 01.01.2008 година, беше продиктувана от все по-належащата нужда да бъде намерен правен механизъм за повишаване сигурността на търговския оборот и доверието относно обстоятелствата, касаещи лицата, упражняващи търговска дейност– търговците по смисъла на Търговския закон. С това се поставиха основите на нормативна и институционална среда за изграждане на модерна система за търговска регистрация. Въвеждането на новия търговски регистър съществено облекчи започването и извършването на търговска дейност в Република България, повиши сигурността на договарянето, значително разтовари окръжните съдилища и сведе до минимум непрозрачните зони в регистърното производство. Принципът на публичност на търговския регистър предостави на всеки право да преглежда регистъра и документите, въз основа на които са извършени вписванията, както и да получава преписи от тях.

Въпреки безспорните предимства на новите правила, в прилагането им на практика обаче, възникнаха проблеми във връзка със значително улеснения достъп и разпространение на информация относно търговската регистрация. Оказа се, че прогласеният принцип за публичност и свободен достъп до търговския регистър създава предпоставки за недобросъвестно достъпване на лични данни, съдържащи се в документите по партидите на отделните търговци. В периода 2008– 2013 година, с цел преодоляване на възникналите проблеми по отношение на достъпването до лични данни, бяха направени изменения и допълнения на ЗТР, като се предвиди, че обстоятелствата и актовете, касаещи търговците, се обявяват без информацията, представляваща лични данни по смисъла на ЗЗЛД, с изключение на информацията, за която със закон се изисква да бъде обявена. Въведе се изискване към заявителите да представят актовете, подлежащи на обявяване в търговския регистър, със заличени лични данни, освен тези, които се изискват по закон. Въведе се регистрираният достъп до електронните дела на търговците. Мерките бяха вменени като задължение и отговорност на администратора на лични данни– Агенция по вписванията. Това до известна степен спомогна за ограничаване на безконтролното достъпване до лични данни, съдържащи се в базата данни на търговския регистър. Бележката „до известна степен“ е важна, защото редакцията на чл.12, ал.1, т.6 от ЗТР от месец май 2008г. и до настоящия момент позволява срещу заплащане на държавна такса цялата база данни на търговския регистър или част от нея да бъде предоставяна на заявилите желание субекти.

В настоящия анализ следва да се обърне особено внимание на разпоредбите от ЗТР, които уреждат достъпа до търговския регистър.

Съгласно определението за „Търговски регистър“, посочено в чл.2, ал.1 от ЗТР, „Търговският регистър е електронна база данни, съдържаща обстоятелствата, вписани по силата на закон, и актовете, обявени по силата на закон, за търговците и клоновете на чуждестранни търговци“. В чл.4 и чл.5 от ЗТР законодателят е разписал кои обстоятелства от правния статус на търговците подлежат на вписване и кои актове подлежат на обявяване.Член 11 от ЗТР урежда публичността на търговския регистър. По смисъла на чл.11, ал.1 от закона публичността се дефинира чрез правото на всеки на свободен и безплатен достъп до регистъра и възможността да прави справка по извършените вписвания, заличавания и обявявания. Предвид легалната дефиниция на „Търговския регистър“, дадена в чл.2, като електронна база данни, съдържаща обстоятелствата по чл.4 и актовете по чл.5 от ЗТР, с публичност се ползват само вписаните обстоятелства и актовете, обявени в търговския регистър, а не документите, въз основа на които АВ е удостоверила, че подлежащите на вписване обстоятелства действително са се случили, така както са декларирани от лицата.

Правилното разбиране на нормите на чл.2, ал.1, чл.4, чл.5 и чл.11 от ЗТР има важно значение за безпроблемното осъществяване на работата и съществуването на търговския регистър. На първо място нормата установява законовата дефиниция на понятието „Търговски регистър“. Според дефиницията, търговският регистър е „електронна база данни“. Това означава, че законът разглежда търговския регистър само като електронен регистър. В ЗТР обаче за понятието „база данни“, на основата на което е дефиниран търговският регистър не е създадена законова дефиниция. Вероятно законодателят е преценил, че поради широката употреба, това понятие е придобило гражданственост и не е необходимо въвеждането на легална дефиниция. В конкретния случай обаче този законодателен пропуск предполага тълкуване, което с оглед интересите на лицата, чиито лични данни има възможност да се достъпят по автоматизиран път, не следва да бъде разширително.

Тук от съществено значение е да се отговори какво съдържа базата данни на търговския регистър. Всъщност законът дава ясен отговор – обстоятелствата, вписани по силата на закон, и актовете, обявени по силата на закон.

На първо място в текста на чл.2, ал.1, както и в чл.4 от ЗТР се говори за въвеждане в базата данни на „обстоятелства“. Под обстоятелства следва да се има предвид вписването на информация за определени факти относно статуса на търговците, например: фирма на търговеца, стойност на капитала, имена на съдружниците, имена на управителите, седалище и др. Това всъщност е задължителната информация, която се публикува в структуриран вид на публичната електронна страница на търговския регистър при спазване на мерките, предприети от страна на АВ, а именно: задължителните структурирани данни– ЕГН-тата не се появяват или са запълнени със символа „*”.

Обявяването на актовете, част от базата данни на търговския регистър, например: Актуален дружествен договор/учредителен акт/устав, Покана за свикване на общо събрание на акционерите, Покана до кредиторите, Решение за увеличаване на капитала и др. се извършва чрез пренасяне на информацията във формат, подлежащ на автоматизирана обработка, чрез сканиране на документи. При това пренасяне и съобразно разпоредбата на чл.13, ал.6 от ЗТР, актовете, подлежащи на обявяване, следва да бъдат сканирани и съответно обявени след като заявителите предварително представят актовете със заличаване на съдържащите се в тях лични данни.

При спазване на този ред, базата данни на търговския регистър ще съдържа вписани обстоятелства и обявени актове.

Разширителното тълкуване на понятието „електронна база данни на търговския регистър“ и съответно прилагане на практика на разбирането, че в това се съдържат и електронните образи на документите, въз основа на които са направени вписванията и обявяванията, води до нарушаване на принципите за обработване и съответно защита на личните данни на физическите лица.

Основното предназначение на документите, въз основа на които са направени вписванията, обявяванията и заличаванията в търговския регистър, е положителното приключване на регистърната проверка. Дейността на длъжностните лица по регистрацията към Агенцията по вписванията за проверка на представените заявления и приложенията към тях, както и за произнасяне по исканията, представлява сърцевината на регистърните процедури по ЗТР.Производството се осъществява от специална категория длъжностни лица, отговарящи на изискванията на чл.20 от ЗТР– назначени след проведен конкурс, с висше юридическо образование, юридическа правоспособност и юридически стаж не по-малко от 3 години. Именно на тези лица и за целите на регистърното производство е необходим достъп до електронния образ на заявленията и приложените към тях документи. Без тези документи длъжностните лица по регистрацията не биха могли да доведат до успешен финал приключването на регистърната проверка чрез произнасяне по исканията за вписване, обявяване и заличаване на вписани обстоятелства. Това е единственият аргумент за право на достъпдо тези документи в процеса на обработването им за целите на търговския статус. Сканираните документи, въз основа на които са направени вписванията, обявяванията и заличаванията, не са част от търговския регистър по смисъла на ЗТР, тъй като по своята същност това не са обстоятелства, касаещи статуса на отделните търговци, а доказателства, че подлежащи на вписване в регистъра обстоятелства са се случили. След като тези документи не са част от търговския регистър, съответно не следва да бъдат предоставяни на желаещите за достъп до базата данни ли част от нея.

С оглед на така направения анализ следва да се направят няколко извода:

Въведената до момента практика при предоставянето на базата данни на търговския регистър чрез автоматизиран достъп, в която се съдържа информация с незаличени всички задължителни и нездължителни лични данни, както и електронни адреси (линкове) до сканираните изображения противоречи на принципите за законосъобразност, целесъобразност и пропорционалност при обработване на лични данни. Предоставяне на достъп до електронния образ на документи, въз основа на които са направени вписванията, обявяванията и заличаванията, следва да се извършва само за целите на регистърното производство от длъжностни лица по регистрацията-служители на АВ. Достъпването на тази информация от широк кръг лица е непропорционално и прекомерно. В тази ситуация на практика се допуска паралелното водене на неограничен брой регистри с базата данни на търговския регистър и в нарушение на разпоредбите на чл.2, ал.2 от ЗТР, съгласно която обстоятелствата и подлежащите на обябяване актове се обявяват без информацията, представляваща лични данни по смисъла на Закона за защита на личните данни.Във връзка с посоченото, е наложително администраторът на лични данни-Агенция по вписванията да предприеме технологични мерки за преработване на софтуерните продукти, които позволяват автоматизирания достъп до базата данни на търговския регистър, в т.ч.достъп до информация с незаличени всички задължителни и нездължителни лични данни, както и електронни адреси (линкове) до сканираните изображения, съдържащи и подписи на физически лица. При реализирането на тези мерки следва да се отчете и нормата на чл.12, ал.4 от ЗТР, съгласно която достъпът до търговския регистър по служебен път на държавните органи, органите на местно самоуправление и местна администрация и лицата, на които е възложено упражняването на публична функция, е безплатен. Съответно във връзка с изпълнение на възложените им от държавата функции, следва конкретно да се отчете кои органи да достъпват в пълен обем информацията и кои с анонимизирани лични данни.

От друга страна следва да се подчертае, че въведеното изменение на Тарифата за държавните такси, събирани от Агенция по вписванията (ПМС №427 от 18.12.2014год.) и по-конкретно чл.16д, в сила от 01.01.2015год., за предоставяне на цялата база данни от търговския регистър и актуализация на обстоятелствата в нея, за което вече се събира годишна такса в размер на 100 лева, а не както до момента 30000 лева, наистина ще подобри достъпността на тази услуга и ще способства за изпълнение на ангажиментите на страната по инициативата “Government Partnership”. Едновременно с това обаче се позволява на неограничен кръг от лица да достъпват информация с незаличени всички задължителни и незадължителни лични данни, както и електронни адреси (линкове) до сканираните изображения, съдържащи и подписи на физически лица. При това обстоятелство администраторът на лични данни– Агенция по вписванията не изпълнява задълженията си по ЗЗЛД да не допуска незаконосъобразни или недобросъвестни форми на обработване на личните данни. В изложения казус е налице фактът, че за първичния администратор, събрал данните (Агенция по вписванията), са валидни нормативни задължения във връзка със защитата на личните данни, предвидени в чл.2, ал.2, чл.11, ал.2 и чл.13, ал.6 от ЗТР, докато за вторичните администратори на лични данни (желаещите да им бъде предоставена базата данни или част от нея) тези законови задължения не се реализират на практика.

Посочените съображения се споделят и от национално представените организации на работодателите в България. В процеса на изготвяне на настоящото становище, КЗЛД проведе срещи с председателите на Българската търговско– промишлена палата(БТПП), Асоциацията на индустриалния капитал в България(АИКБ) и Конфедерация на работодателите и индустриалците в България (КРИБ). Изразената по време на срещите позиция от тяхна страна е, че достъпването на информация от търговския регистър с незаличени всички задължителни и незадължителни лични данни е предпоставка за реални злоупотреби с данните на физическите лица, участващи в бизнеса като търговци на територията на Република България.

Важен момент, който също е необходимо да се има предвид е, че лицата, желаещи да им бъде предоставена базата данни или част от нея следва да носят съответната нормативна отговорност за достъпените данни. Тези лица не само ще съхраняват получената база данни, но вероятно и биха я обработвали за други цели, различни от предвидените в ЗТР. Затова, в случай, че тези лица достъпят информация с незаличени всички задължителни и незадължителни лични данни, както и електронни адреси (линкове) до сканираните изображения, съдържащи и подписи на физически лица, тези лица задължително следва да се регистрират в регистъра на администраторите на лични данни, поддържан от КЗЛД. Решаващият критерий за възникване фигурата на администратор на лични данни е наличието на необходимост за едно лице да обработва лични данни в хода на извършване на дейността си, за което трябва да изпълни и задължението си за регистрация в регистъра на КЗЛД. Нещо повече, с оглед на изложените в настоящия анализ аргументи и съгласно чл.17б, ал.1 от ЗЗЛД, когато администраторът е заявил данни, чието обработване, съгласно решение на КЗЛД застрашава правата и законните интереси на физическите лица, Комисията задължително извършва предварителна проверка преди вписване в регистъра. След приключване на предварителната проверка, КЗЛД може да впише администратора, да даде задължителни указания относно условията за обработване на лични данни и воденето на регистър на лични данни или да откаже вписването. Именно в хода на предварителната проверка, Комисията ще прецени дали администраторът е предприел съответни мерки за защита на личните данни в съответствие с изискванията на Наредба №1 от 30 януари 2013 година за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Разбира се, при поискване КЗЛД, може да издаде удостоверяващ документ за съответствие с изискванията за „високо ниво на въздействие– високо ниво на защита“.

Въпросът за освобождаване от задължение за регистрация по чл.17 а, ал.1, т.1 от ЗЗЛД е некоректно поставен. Тази хипотеза касае администратори, които по силата на нормативен акт поддържат публични регистри със свободен достъп. В конкретния случай това е Агенция по вписванията.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

Документите, въз основа на които са направени вписванията, обявяванията и заличаванията, не са част от публичния търговски регистър по смисъла на чл.2, ал.1, чл.4, чл.5 и чл.11 ЗТР, тъй като по своята същност това не са обстоятелства, касаещи статуса на отделните търговци, а доказателства, че подлежащи на вписване в регистъра обстоятелства са се случили. Предвид посочения факт, администраторът на лични данни– Агенция по вписванията, следва да предприеме технологични мерки за преработване на софтуерните продукти, които позволяват автоматизирания достъп до базата данни на търговския регистър и достъпване на информация с незаличени лични данни, както и електронни адреси (линкове) до сканираните изображения, съдържащи и подписи на физически лица. По този начин ще се отговори на изискванията на ЗТР и ЗЗЛД. В противен случай, предоставянето на незаличена информация, съдържаща лични данни, се явява в противоречие с чл.2, ал.2 , чл.11, ал.2 и чл.13, ал.6 от ЗТР.