Становище на КЗЛД във връзка с прилагането на Акта за спазване на данъчното законодателство във връзка със задгранични сметки на американски данъкоплатци, приет от Американския Конгрес – FATCA

Комисията за защита на личните данни (КЗЛД) в състав: Красимир Димитров, Валентин Енев, Мария Матева иВеселин Целков на заседание, проведено на 23.10.2013г. (Протокол №36), разгледа преписка с рег. №П-4643/10.07.2013г. от „С.” ЕАД за становище във връзка с прилагането на Акта за спазване на данъчното законодателство във връзка със задгранични сметки на американски данъкоплатци, приет от Американския Конгрес-FATCA. Искането е подадено от представляващите банката П.А., главен изпълнителен директор и Ф.Я., изпълнителендиректор.

Представляващите банката посочват, че на 17.01.2013г. Департаментът по финанси на САЩ е публикувал финална версия на регламент, с който окончателно са приети разпоредбите на FATCA. Основната цел на FATCA е да даде възможност на американските данъчни власти да се борят с трансграничните злоупотреби на американски лица, които имат сметки и финансови активи в чужбина. Тази цел ще бъде постигната с изграждането на глобална система за автоматичен обмен на информация, която налага задължение на всички чуждестранни финансови институции да предоставят информация на американските данъчни служби (IRS) за всички сметки на американски данъкоплатци или на чуждестранни дружества, които са собственост на американски данъкоплатци. По този начин FATCA поражда множество нови задължения за всички чуждестранни финансови институции.

В искането е изразено мнение, че подписване и ратифициране на споразумение по модел1 между Република България и САЩ, последвано от съответните промени в законодателството, би спомогнало за преодоляване на висящите чувствителни въпроси относно защита на личните данни, разкриване на банковата тайна, както и липсата на основание за прекратяване на отношенията с американско данъчно лице, което не пожелае да даде съгласие за разкриване на дължимата за него информация.

Представляващите С. ЕАД информират, чеС. ЕАД като част от КБС Г.- Белгия, има намерение да започне заедно с другите членове на Групата, да прилага изискванията на FATCA от 01.01.2014 год., независимо от обстоятелството дали има подписано споразумение между Република България и САЩ или не. Прилагането му обаче, не може да се осъществи без съобразяване с действащото законодателство в страната, независимо от техническите подготовки.

Във връзка с изложеното, представляващите С. ЕАД искат становище от Комисията за защита на личните данни по следните въпроси:

1. Предвид обстоятелството, че преди 01.01.2014 год. няма да бъде подписано споразумение по модел 1 между Република България и САЩ, вследствие на което да бъдат предприети действия по промени в действащото и относимо към проблематиката законодателство, на какво основание Банката би могла да изисква от клиентите си (бъдещи и настоящи) подписването на декларациите (W-8BEN и W-9), необходими във връзка с прилагането на Акта за спазване на данъчното законодателство във връзка със задгранични сметки на американски данъкоплатци, приет от Американския Конгрес -FATCA. Наредба№3 на БНБ дава право на доставчика на платежни услуги да изисква и други документи за откриване и водене на платежна сметка /непредвидени в Наредбата/, за което предварително уведомява лицето, което открива сметката. Поставя се въпроса дали понятието „други документи", използвано в Наредбата, дава достатъчно основание на банката да събира посочените декларации, като въвеждането на изискването за предоставянето им във вътрешно нормативните документи на Банката няма ли да доведе до нарушение на Закона за Защита на личните данни?

2. Дали Комисията за защита на личните данни ще даде разрешение запредоставяне на данни на клиенти на Банката, получени и обработени с тяхно съгласие, представляващи „лични данни" или „банкова тайна" в трета държава, извън ЕС, във връзка с прилагането на FATCA, предвид обстоятелството, че местното законодателство все още не е хармонизирано в съответствие с изискванията на американския данъчен закон и липсва нарочно основание за предаване на събраната от Банката информация на Американската данъчна служба?В искането се подчертава, че в този преходен период (до влизане в сила на споразумение между Република България и САЩ) данни на клиенти ще бъдат трансферирани, на основание предоставено от тях изрично писмено съгласие личните им данни да бъдат предавани в САЩ, на Американската данъчна служба за целите на FATCA.

3. Поставен е въпроса дали освен искане за разрешение за предоставяне на данни, представляващи „лични данни" на клиенти на Банката, администраторът следва ли да подаде и ново заявление за регистрация на администратор на лични данни, в което изрично да е посочено, че данните ще се предоставят и в трети държави, извън ЕС?

След първоначален анализ на искането за становище и при отчитане спецификата на поставените в него въпроси, с писма с рег. №П-5103/29.07.2013г. е изискано становище по компетентност от управителя на Българска народна Банка, И.И. относно изискванията на Наредба №3 за условията и за реда за изпълнение на платежни операции и за използване на платежни инструменти, както и допустимостта данни- предмет на банкова тайна да бъдат предоставяни на трети страни без съгласие на титуляра.

С писмо рег. № П-5104/29.07.2013г. Е изискана допълнителна информация от изпълнителния директор на Национална Агенция по приходите Б.А. относно:

1. Хода на преговорния процес между Република България и САЩ за сключване на споразумение по прилагането на FATCA и избора на модел на споразумение (Model1 или Model2 agreement);

2. Предвижда ли се ратификация на споразумението между Република България и САЩ по прилагането на FATCA?;

3. Какви се очаква да бъдат задълженията за българската страна и какъв е механизма на взаимодействие между задължените субекти (напр. български кредитни институции) и НАП?;

4. Очакват ли се промени в българското законодателство във връзка с изпълнение на споразумението между Република България и САЩ по прилагането на FATCA (напр. в Закона за кредитните институции по отношение възможността данни-предмет на банкова тайна да бъдат предоставяни на трети страни, без съгласието на титуляра)?;

5. Коя е очакваната дата, от която ще възникнат задължения за българската страна (с оглед текущата законодателна реформа на европейско ниво в областта на защитата на личните данни, която се очаква да приключи тази година. След влизане в сила на новия регламент за защита на личните данни ще настъпят редица промени в режима по трансфери на данни в трети страни)?;

6. Какви точно данни се очаква да бъдат предоставяни на американската страна и от кого (от НАП или от конкретните кредитни институции)?;

7. Предвижда ли се лицата, чиито данни ще се предоставят, да бъдат информирани за това, респ. наличието на съгласие от тяхна страна предпоставка ли е за предоставянето на данните. В случай на отказ да бъде дадено съгласие, какви ще бъдат последиците за лицето, респ. за кредитната институция?;

8. Как ще бъдат уредени заварените случаи (американски граждани с банкови сметки у нас, от които при откриване на банкова сметка не е искано съгласие за последващо предоставяне на техни данни в САЩ)?;

9. Предвиждат ли се задължения за американската страна по отношение достъпа до получените данни и мерките за тяхната защита?.

С писмо рег. №С-547/21.08.2013г. от Българска народна банка изразяват следното становище:

1. До влизане в сила FATCA чрез утвърждаване по съответния ред не е налице нормативно основание, по силата на което банката да може да изисква задължително от клиентите си представянето на предвидените в споразумението декларации. В този смисъл разпоредбата на чл.5, ал.5 от Наредба №3 не може да се приеме за нормативно основание, по силата на което доставчиците да изискват подписването на декларациите, необходими във връзка с прилагането на FATCA.

2. По въпроса за предоставяне на информация, представляваща банкова тайна, на трети страни, следва да се има предвид, че при предоставяне на информация, която представлява банкова тайна по смисъла на чл.62, ал.2 от Закона за кредитните институции (ЗКИ), кредитната институция (банката) следва да спазва изискванията на чл.62 от ЗКИ. Съгласно разпоредбите на чл.62, aл. 1 от ЗКИ служителите на банката, членовете на управителните и контролните органи на банката, длъжностните лица в БНБ, ликвидаторите, синдиците, както и всички лица, работещи за банката, не могат да разгласяват, както и да ползват за лично или за членовете на семейството им облагодетелстване информация, представляваща банкова тайна.

С писмо рег. №П-5579/23.08.2013г. от Националната Агенция по приходите е предоставена следната информация:

1. С протоколно решение на Министерски съвет от 09.01.2013г. е одобрен проект на двустранно реципрочно споразумение за прилагането на FATCA, известно още като Модел1 FATCA споразумение. Към настоящия момент се водят преговори за сключването му.

2. С оглед характера на споразумението със САЩ по прилагане на FATCA, то следва да бъде ратифицирано.

3. Предоставена е разяснителна информация относно същността на FATCA. Това е американско законодателство, което дава възможност на американските данъчни власти (IRS) да се борят срещу трансграничното укриване на данъци от американски лица чрез използването на офшорни сметки и финансови активи, разположени в чужбина. Тази цел ще бъде постигната с налагането на задължение на всички чуждестранни финансови институции да предоставят информация на IRS за всички финансови сметки на американски данъкоплатци. Чуждестранните финансови институции, които откажат участие във FATCA, ще бъдат санкционирани. Тъй като първоначалната идея на FATCA за индивидуално сътрудничество между IRS и финансовите институции се оказва неефективна и оставя открити два основни проблема- разкриването на банкова информация и защитата на лични данни, започва диалог между държави-членки на ЕС и САЩ. В резултат на това е постигнато споразумение за алтернативен, междуправителствен подход при имплементирането на FATCA. Този подход се основава на административно сътрудничество между данъчните администрации, а именно чуждестранните финансови институции ще изпълнят задълженията си по FATCA, предоставяйки информация на данъчната администрация на държавата, в която са установени и която от своя страна ще я предостави на САЩ по линия на автоматичния обмен на информация.

Очаква се моделът на FATCA споразумение да бъде ползван и като образец на модел-споразумение за автоматичен обмен на информация, който ще бъде приет от Организацията за икономическо сътрудничество и развитие. Най-общо FATCA споразумението предвижда следните основни задължения: съгласно чл.2 договарящите държави ще си обменят веднъж годишно на автоматична база информация относно финансовите сметки на лица от съответната друга държава; чл.4 създава задължение на българските финансови институции да осъществят процедурите по комплексна проверка за американски сметки, да осъществят необходимата регистрация в IRS, както и да предоставят информация на платци на доходи в определени хипотези. Споразумението не разглежда механизмите на взаимодействие между НАП и българските финансови институции, като това ще бъде обект на допълнителна законова регламентация.

4. Сключване на FATCA споразумение неминуемо ще наложи промени в българското вътрешно законодателство в различни направления. На първо място ще трябва да бъдат регламентирани задълженията на финансовите институции по отношение на предоставянето на информация към НАП. На следващо място следва да бъдат регламентирани въпросите с разкриването на банковата, застрахователна и професионална тайна.

В тази връзка от страна на изпълнителния директор на НАП е поставен въпросът за това дали са необходими и промени в областта на защитата на личните данни.

5. По последна информация от публикувания от Департамента по финанси на САЩ Notice2013-43, прилагането на FATCA ще бъде отложено с 6 месеца спрямо първоначално обявените дати. В последната версия на споразумението от 12.07.2013г. е предвидено, че първата година, за която ще се обменя информация вече е 2014г., като информацията ще се обменя в рамките на девет месеца след края на календарната година, за която се отнася. Т.е. първият автоматичен обмен на информация между данъчните администрации ще се осъществи до края на септември 2015г. и ще касае данни за предходната година.

6. В хипотезата на сключено споразумение информацията ще се обменя между данъчните администрации, като преди това ще бъде събирана от съответните финансови институции. Данните, които ще бъдат обменяни автоматично, основно касаят: 1) името, адреса и данъчния номер на американските лица, които имат сметки, както и на неамериканските образувания, които имат американски контролиращи лица; 2) номер на финансовата сметка; 3) име и номер на финансовата институция; 4) наличност по сметката; 5) размер на реализираните доходи.

7. Самото FATCA споразумение не предвижда ред, по който лицата, чиито данни ще бъдат обменяни, да бъдат информирани за това обстоятелство или от тях да бъде искано съгласие. Доколкото споразумението и законодателството по неговото прилагане създават законово задължение на финансовите институции за разкриване на данни за своите клиенти, то вероятно няма да е необходимо да бъде искано такова съгласие. Тези въпроси биха възникнали при липсата на междуправителствено FATCA споразумение, в хипотезата на пряко договаряне между финансовите институции и IRS. В тези случаи американското законодателство предвижда специално третиране на сметките като „несъответстващи", удържането на данък и закриването им след определен период от време. Съответно, чуждестранна финансова институция, която откаже да прилага правилата за „несъответстващи сметки", ще бъде третирана като неучастваща финансова институция и ще бъде обект на санкции. При наличието на FATCA споразумение тези правила няма да се прилагат.

8. FATCA споразумението не прави разграничение между сметките на такива, за които има или няма съгласие за разкриване на лични данни. Обменът на информация ще обхване всички американски финансови сметки, които са идентифицирани като такива при прилагане на процедурите по комплексна проверка, разгледани в ПриложениеI на споразумението.

9. FATCA споразумението предвижда система за автоматичен обмен на информация между данъчните администрации на сключилите го държави и САЩ. Този автоматичен обмен на информация ще бъде осъществяван на основание клаузата за обмен на информация в съответната спогодба за избягване на двойното данъчно облагане (СИДДО) или друго споразумение за обмен на информация (за България това е чл.25 от СИДДО със САЩ). FATCA споразумението изрично предвижда, че обменяната информация е предмет на правилата за поверителност и другите защитни разпоредби, предвидени в СИДДО, включително разпоредбите, ограничаващи използването на такава информация. Съгласно чл.25, ал.3 от СИДДО със САЩ всяка информация, получена от едната договаряща държава по силата на този член, ще се счита за поверителна също както информацията, получена съобразно националното законодателство на тази държава, и ще се предоставя само на лица или органи (включително съдилища и административни органи), занимаващи се с определянето, събирането или администрирането, принудителното изпълнение или наказателното преследване, както и решаването на жалби във връзка с данъците, в обхвата на спогодбата, както и с надзора на горепосочените. Такива лица или органи ще ползват информацията само за такива цели и могат да я разкриват в съдебни процеси или при постановяване на съдебни решения. В допълнение FATCA споразумението предвижда, че след влизането му в сила, компетентните органи ще си разменят писмени уведомления до кога приемат, че в другата юрисдикция има: 1)подходящи гаранции, които да осигурят, че получената информация ще остане поверителна и ще бъде използвана единствено за данъчни цели, и 2)инфраструктура за ефективни отношения при обмен на информация (включително установени процеси за осигуряване на навременни, точни и поверителни обмени на информация, ефективни и надеждни комуникации и доказани способности за бързо решаване на въпроси и неясноти, свързани с обменът на информация и корекциите на грешки). В случай че никоя от страните не предостави на другата такова писмено уведомление към 30септември 2015г., FATCA споразумението ще бъде прекратено. Накратко това са уговорените клаузи за поверителност на информацията и защита на личните данни. чл.3, ал.6 от FATCA споразумението предвижда още една възможност, съгласно която компетентните органи ще сключат специално допълнително споразумение в рамките, на което могат да бъдат уговорени различни аспекти, свързани с автоматичния обмен на информация, включително могат да бъдат поискани допълнителни гаранции за защита на личните данни на лицата.

В тази връзка от страна на НАП е поставен въпроса дали Комисията за защита на личните данни счита, че е необходимо от данъчната администрация на САЩ да бъдат поискани допълнителни, по-големи гаранции от описаните по-горе?

От страна на изпълнителния директор на НАП е изразена позицията, че сключването на FATCA споразумение е от изключителна важност както за българските финансови институции, така и за задълбочаване и повишаване ефективността на административното сътрудничество със САЩ в борбата срещу данъчните измами, укриването на данъци и агресивното данъчно планиране. Ползите от FATCA споразумение за финансовия сектор са значителни, тъй като то предвижда много по-облекчен режим спрямо задълженията по американското законодателство и решава много от посочените по-горе проблеми. Изразена е подкрепа за сключването му и от страна на асоциациите на засегнатите финансови институции. Изразена е надежда, че споразумението ще бъде сключено до 01.01.2014г., а както бе посочено по горе, с Notice2013-43 на Департамент по финанси на САЩ от 12.07.2013г. прилагането на FATCA е отложено с 6 месеца (т.е. от 1 юли 2014г.). Освен това, този документ изрично предвижда, че юрисдикциите, които са подписали междуправителствено споразумение, което обаче все още не е влязло в сила, ще бъдат третирани като партньорски юрисдикции, а финансовите им институции като участващи.

Едно от основните задължения на администраторите на лични данни, това е задължението да обработват данните законосъобразно и добросъвестно, да ги събират за конкретни, точно определени и законни цели и да не ги обработват допълнително по начин, несъвместим с тези цели. По смисъла на §1, т.1 от Допълнителните разпоредби на ЗЗЛД, “Обработване на лични данни” е “всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”. В конкретния случай става въпрос за обработване на данни под формата на „предоставяне” и „предаване” към администратор на територията на трета държава по смисъла на §1, т.14 от Допълнителните разпоредби на ЗЗЛД.

До влизането в сила на двустранен международен договор между Република България и САЩ, който да регламентира отношенията във връзка с предоставянето и предаването на лични данни в трансграничен контекст (в конкретния случай по изпълнение на FATCA), единственият нормативен акт, който урежда тези въпроси е Законът за защита на личните данни.Предвид това единственото условие за допустимост на обработването на лични данни в случая е съгласието на физическите лица, за които се отнасят данните. По смисъла на §1, т.13 от Допълнителните разпоредби на ЗЗЛД съгласието следва да бъде свободно изразено, конкретно и информирано.

Видно от информацията по преписката, за изпълнение на задълженията по FATCA се налага лицата да подписват декларации по образец.Декларациите по образец– W8BEN и W9, съдържат информация относно имена на физическото лице-клиент на банката, данни относно постоянен адрес, данъчен идентификационен номер, номер на социална осигуровка. Включена е разяснителна информация за лицата с препоръки за предпазване от кражба на самоличност. Предоставена е и информация за възможните получатели на данните.

В декларациите не е предвиден текст за даване на съгласие за обработване на лични данни.Въпреки това, с факта на попълване и подаване на декларациите към С. ЕАД, може да се приеме, че физическите лица-американски граждани конклудентно се съгласяват посочените от тях лични данни да бъдат обработвани от този администратор за целите на американското данъчно законодателство.

Видно от становището на БНБ обаче, не е налице нормативно основание, по силата на което С. ЕАД да може да изисква от клиентите си попълването на тези декларации. Доколкото Наредба№3 на БНБ от 16 юли 2009г. за условията и реда за изпълнение на платежни операции и за използване на платежни инструменти се явява специален нормативен акт по отношение документите, необходими за откриване и поддържане на платежна сметка, изискването за попълване на въпросните декларации, преди да бъдат въведени те в националното законодателство с ратифициран международен договор, ще бъде прекомерно и в противоречие с чл.2, ал.2, т.1 и 2 от ЗЗЛД. Поради това, преди влизане в сила на споразумението чрез ратификация от българската страна, съгласието в случая не може да се приложи като валидно правно основание за обработване на данни по смисъла на чл.4, ал.1, т.2 от ЗЗЛД.

Предвид обстоятелството, че към настоящия момент (преди факта на ратификация на споразумението между Република България и САЩ) липсва условие за допустимост на обработването по чл.4, ал.1 от ЗЗЛД, то липсва и правно основание Комисията за защита на личните данни да разреши прехвърляне на данни към третата държава. Наличието на условие за допустимост е задължителен елемент при всяка една форма на обработване на лични данни, вкл. предаване към получатели в трети държави.

След подписване, ратифициране по конституционен ред и влизане в сила на споразумението между Република България и САЩ, от което ще произтекат задължения за финансовите институции в България, щее налице валидно правно основание за администратора С. ЕАД за обработване на лични данни на задължени по американското законодателство физически лица на основание чл.4, ал.1, т.1 от ЗЗЛД. В този случай и предвид факта, че условията за допустимост по чл.4, ал.1 са алтернативни, за администратора не възниква задължение да разполага и с изрично информирано съгласие на съответните лица.

Несъмнено, поради своя характер и задълженията, които споразумението ще породи за българската страна, влизането му в сила ще наложи последващи промени в националното законодателство, особено в данъчния и банковия сектор. Що се отнася до защитата на личните данни следва да се отчете текущата законодателна реформа в тази област на ниво ЕС, която към настоящия момент се очаква да приключи през първата половина на 2014г. Приемането на Регламент за защита на личните данни, въпреки неговото пряко действие,най-вероятно ще наложи приемането на въвеждащо законодателство в отделните държави-членки. Предвид този факт не е целесъобразно предприемането на частични законови изменения в ЗЗЛД, произтичащи от бъдещото ратифициране на FATCA, при условие, че най-вероятно нов Закон за защита на личните данни ще уреди въпросите, свързани собработването на лични данни, вкл. и при необходимост от изпълнение на международни договори.

При всяко предоставяне на лични данни в трета държава се държи сметка за наличие на адекватно ниво на защита на данните на нейна територия. САЩ се явяват такава трета държава по смисъла на §1, т.14 от Допълнителните разпоредби на ЗЗЛД. Преценката на адекватността на нивото на защита на личните данни в третата държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава. КЗЛД не извършва преценка за наличие на адекватно ниво на защита, ако Европейската комисия се е произнесла с решение, че третата държава, в която се предоставят данните, осигурява такова адекватно ниво.

За да може даден администратор на територията на Република България да предостави (трансферира) лични данни към получател на територията на трета държава, е необходимо да е налична поне една от следните хипотези:

· Да има решение на Европейската комисия, с което е констатирано адекватно ниво на защита на личните данни в третата държава (в случая САЩ)-чл.36а, ал.5, т.1 от ЗЗЛД;

· Спрямо конкретния трансфер да се прилагат някои от стандартните договорни клаузи, приети от Европейската комисия като осигуряващи адекватно ниво на защита-чл.36а, ал.5, т.2 от ЗЗЛД;

· Да е налице някое от основанията по чл.36а, ал.7, т.1-6 от ЗЗЛД;

· Спрямо конкретния трансфер да са налице достатъчно гаранции за защита на трансферираните лични данни, осигурени от администратора, предоставящ данните и администратора, получаващ данните-чл.36б от ЗЗЛД.

Във връзка с горепосочените алтернативни възможности, които следва да са налице, за да бъде осъществен законосъобразно трансферът на данни от НАП към IRS в САЩ, след влизане в сила на споразумението, трябва да се има предвид следното:

1. По отношение трансферите на лични данни към получатели на територията на САЩ Европейската комисия се е произнесла с Решение2000/520 относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ. В случая обаче това решение не би могло да намери приложение, тъй като в Списъка на дружествата, които се придържат към принципите за предоставяне на адекватно ниво на защита на личните данни, прехвърляни от страни– членки на Европейския съюз към получатели в САЩ (т.нар. „Безопасно пристанище”- Safe Harbor) се включват само частноправни субекти (търговски дружества), но не и публични държавни органи, каквато се явява IRS. Предвид това, за разрешаване на трансфера на данни от НАП към IRS в САЩ не може да бъде използвано като основание наличието на решение на Европейската комисия за адекватно ниво на защита на личните данни в САЩ.

2. До прилагане на стандартни договорни клаузи може да се прибегне, ако в Споразумението между Република България и САЩ, в изпълнение на който НАП следва да предоставя лични данни, се включи препратка към съответните решения на Европейската комисия за прилагане на общи договорни клаузи или в самия международен договор бъдат разписани разпоредбите, въвеждащи стандартни договорни клаузи.

3. Предвид спецификите на работата на данъчните органи, които осъществяват държавна политика, няма да могат да намерят приложение основанията за разрешаване на трансфер на данни, разписани в чл.36а, ал.7, т.1-6 от ЗЗЛД.

4. По принцип, когато трансферирането на данните е в изпълнение на международен договор, като единствено приложимо правно основание за разрешаване предоставянето на лични данни от НАП към САЩ, се очертава изискването на чл.36б от ЗЗЛД. Става въпрос за наличие на достатъчно гаранции за защита на данните, осигурени от администратора, предоставящ данните и администратора, получаващ данните. С оглед на това е необходимо при договарянето на Споразумението между Република България и САЩ, в него да бъдат включени разпоредби, които да разписват минимално необходимите гаранции и мерки за защита на личните данни- предмет на трансфер. В допълнение към тях, при подаване на конкретно искане от страна на НАП за трансфер към САЩ, на вниманието на КЗЛД следва да бъде предоставена подробна информация относно конкретните мерки за защита на данните, които ще се трансферират в изпълнение на международния договор. Комисията за защита на личните данни ще прецени, за всекиконкретен случай, дали предлаганите мерки за защита на данните са достатъчни, за да разреши предоставянето на данните.

Няма правна пречка, след влизане в сила на споразумението, НАП да подаде само едно искане за трансфер, като разрешението на КЗЛД ще се отнася за целия срок на действие на споразумението. По този начин няма да се възпрепятства своевременно изпълнение на задълженията на НАП, произтичащи от споразумението и същевременно ще бъде спазено изискването на българското законодателство за предоставяне на съответната информация, съдържаща лични данни, след разрешение от КЗЛД.

Предвид факта, че за НАП ще възникне задължение и необходимост да обработва лични данни на нова категория физически лица (данъчно задължени субекти по американското законодателство), то след влизане в сила на споразумението НАП следва да заяви пред КЗЛД обработване на нов регистър с лични данни.На основание чл.53б от Правилника за дейността на КЗЛД и на нейната администрация във всички случаи на предоставяне на лични данни в трети държави администраторът следва да заяви предоставянето на данни във водения от КЗЛД регистър на администраторите на лични данни и на водените от тях регистри.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни,Комисията за защита на лични данни изразява следното

Поради обстоятелството, че към настоящия момент за „С.” ЕАД не съществува нормативно установено задължение да предоставя лични данни на свои клиенти физически лица-субекти на американското данъчно законодателство на друг администратор на територията на САЩ във връзка с прилагането на FATCA:

1. Изискването за попълване на изискуемите декларации W-8BEN и W-9, преди те да бъдат въведени в националното законодателство с ратифициран международен договор, ще бъде прекомерно и в противоречие с чл.2, ал.2, т.1 и 2 от ЗЗЛД.

2. Липсва правно основание Комисията за защита на личните данни да разреши прехвърляне на данни към САЩ, поради липсата на нормативно основание за целите на FATCA да бъде изисквано съгласие от физическите лица. Прехвърлянето на данни за тези цели, основано единствено на съгласието на физическите лица, ще бъде прекомерно и в противоречие с принципа за законосъобразност на обработването.

3. Не се налага подаване на уведомление до КЗЛД на основание чл.53б от Правилника за дейността на КЗЛД и на нейната администрация поради липсата на правно основание за извършване на трансфер на данни към САЩ.