Становище на КЗЛД относно искане вх. № П-1587/ 21.03.2014 г. на главния директор на Главна дирекция ГРАО по въпроси, касаещи приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов,Цветелин Софрониев и Веселин Целков на заседаниe, проведено на 04.06.2014г.,разгледа искане с вх.№П- 1587/21.03.2014г. от г-нИ.Г.- главен директор на Главна дирекция „Гражданска регистрация и административно обслужване“ към Министерството на регионалното развитиес молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД). В искането е посочено, че в Министерството на регионалното развитие е постъпило писмо с вх.№70-00-386/10.03.2014г. от „У.К.Б.”АД относно възможността за предоставяне на достъп до регистъра на населението, поддържан на национално ниво- Национална база данни „Население“ (РН- НБД „Население“). В искането за становище е посочено, че целта на искания достъп е осигуряване на актуална информация от РН- НБД „Население“ за изпълнение на проект на банката за „Редизайн на кредитни процеси“, с който се цели анализ на кредитните процеси и възможности за оптимизирането им. Сочи се, че „У.К.Б.“АД се позовава на чл.4, ал.1, т.2 и т.3 от Закона за защита на личните данни (ЗЗЛД). В искането за становище е посочено, че към писмото на банката са приложени типови документи „Искане за кредит на физическо лице“, което се попълва от кредитоискател (вкл. съпруг/а) и „Приложение №1 към искане за кредит с вх.№ …. дата ……“, което се попълва от поръчител/солидарен длъжник. Сочи се също, че в тези документи са включени текстове, съгласно които лицата (кредитоискател, неговия/та съпруг/а и поръчител/солидарен длъжник) потвърждават, че във връзка с искания кредит се съгласяват „У.К.Б.”АД да прави запитвания и да получава данни относно гражданската им регистрация от НБД „Население“. Изложено е становище, че от предвиденото в документите съгласие, може да се приеме, че същото се отнася до действия, които Банката предприема във връзка с вземане на решение за отпускане на кредита и не кореспондира с останалите цели, за които данните ще се обработват- за анализ и оптимизиране на кредитните процеси, включително за събиране на непогасени задължения. Изложено е също становище, че предоставените от РН- НБД „Население“ данни на „У.К.Б.”АД следва да се обработват единствено и само за целта на искания кредит, като допълнителното им обработване би било несъвместимо с тази цел и представлява нарушение на чл.2, ал.2, т.2 от ЗЗЛД.

Във връзка с гореизложеното е отправена молба за становище на КЗЛД, на основание чл.10, ал.1, т.4 от ЗЗЛД, съгласно действащото законодателство, допустимо ли е предоставянето на достъп до Регистъра на населението, поддържан на национално ниво- Национална база данни „Население“ на „У.К.Б.”АД, при какви условия и за какви цели.

„У.К.Б.“АД е акционерно дружество с ЕИК *****, със седалище и адрес на управление: гр.София *****. Посоченият предмет на дейност в Търговският регистър, поддържан от Агенция по вписванията е: 1. публично привличане на влогове или други възстановими средства и предоставяне на кредити или друго финансиране за своя сметка и на собствен риск; 2. извършване на платежни услуги по смисъла на закона за платежните услуги и платежните системи; 3. издаване и администриране на други средства за плащане (пътнически чекове и кредитни писма), доколкото тази дейност не е обхваната от т.2; 4. приемане на ценности на депозит; 5. дейност като депозитарна или попечителска институция; 6. (отм. 24.09.2009); 7. финансов лизинг; 8.гаранционни сделки; 9. търгуване за собствена сметка или за сметка на клиенти с: а) инструменти на паричния пазар- чекове, менителници, депозитни сертификати и други извън случаите по т.10; б) чуждестранна валута и благородни метали; в) финансови фючърси, опции, инструменти, свързани с валутни курсове и лихвени проценти, както и други дериватни инструменти, извън случаите по т.10; 10. търгуване за собствена сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и други услуги и дейности по чл.5, ал.2 и 3 от Закона за пазарите на финансови инструменти; 11. парично брокерство; 12. консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързани с това въпроси, както и консултации и услуги относно преобразуване на дружества и сделки по придобиване на предприятия; 13. придобиване на вземания по кредити и друга форма на финансиране (факторинг, форфетинг и други); 14. придобиване и управление на дялови участия; 15. отдаване под наем на сейфове; 16. събиране, предоставяне на информация и референции относно кредитоспособността на клиенти; 17. (отм. 29.02.2012); 18. (отм. 30.03.2007); 19. (отм. 30.03.2007); 20. (отм. 30.03.2007); 21. (отм. 30.03.2007); 22. други дейности, извън посочените в т.1- т.16, когато това е необходимо във връзка с осъществяването на дейността на банката и/или при необходимост от предоставяне на спомагателни услуги по смисъла на закона за платежните услуги и платежните системи и/или в процеса на събиране на вземанията й по предоставени кредити. банката може да създава или да придобива дружества за извършване на спомагателни услуги.; 23. извършва други подобни дейности, определени с наредба на БНБ.

За осъществяване на своята дейност „У.К.Б.“АД обработва данни на физически лица. В тази връзка дружеството е администратор на лични данни по смисъла на чл.3 от ЗЗЛД и като такъв е вписано в Регистъра на администраторите на лични данни и на водените от тях регистри на лични данни, подържан от КЗЛД, с уникален идентификационен номер 17830. Дружеството е заявило 15 броя регистри, както следва:

1. система за оценка на кредитния риск- физически лица;

2. дневник на сделките за покупко- продажба на корпоративни ценни книжа;

3. система за оценка на кредитния риск физически лица- корпоративни клиенти;

4. персонал;

5. система за ценни книжа, дневник за нарежданията на клиентите и за сключените сделки;

6. депозитарни услуги;

7. приложение с информация по администриране на транзакции за взаимни фондове пайниър;

8. исторически системи;

9. система за планиране на ресурсите;

10. външен доставчик на услуги по договор;

11. основен клиентски регистър;

12. регистър на комунални и периодични плащания;

13. система за интернет банкиране;

14. жалби;

15. регистър Мъниграм.

Обработването на личните данни, съгласно дефиницията, дадена в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД, „специфични признаци“ са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

Предоставянето от един администратор- Министерството на регионалното развитие, на друг администратор, в случая „У.К.Б.“АД, който се явява и трето лице по смисъла на т.11 от параграф1 на ДР на ЗЗЛД, на лични данни на физически лица, съдържащи се в Националната база данни „Население“, поддържана от Главна дирекция „Гражданска регистрация и административно обслужване“ (ГД „ГРАО“), би представлявало „обработване на личните данни”, което би се извършило чрез предоставяне на данните, съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД.

В приложения образец на „Искане за кредит на физическо лице №…, дата…” се събира следната информация за кредитоискател: име, презиме, фамилия, пол, дата на раждане, ЕГН, информация от документ за самоличност: номер на документа, дата на издаване, валидност, издаден от, националност. Посочва се също така информация за местоживеене/постоянен адрес- п.код, град, район/улица №, жилище №, както и адрес за кореспонденция- п. код, район/улица №, жилище №пощенска касета №. Посочва се и домашен телефон/мобилен телефон/електронен адрес. Друга информация, която се изисква, е такава за образование, семейно положение, информация за брой деца под 18 год., настоящ жилищен статус.

За съпруга/съпругата на кредитоискателя се изисква следната информация: име, презиме, фамилия, пол, дата на раждане, ЕГН, информация от документ за самоличност: номер на документа, дата на издаване, валидност, издаден от, националност. Друга информация, която се изисква, е такава за образование, както и за домашен телефон/служебен телефон/ мобилен телефон/електронен адрес.

В Приложение №1 към „Искане за кредит с вх.№…, дата…..“ се събират лични данни за солидарен длъжник/поръчител. Събират се следните данни: име, презиме, фамилия, пол, дата на раждане, ЕГН, информация от документ за самоличност: номер на документа, дата на издаване, валидност, издаден от, националност. Посочва се също така информация за местоживеене/постоянен адрес- п.код, град, район/улица №, жилище №, както и адрес за кореспонденция- п.код, район/ улица№, жилище №, пощенска касета №. Посочва се и домашен телефон/мобилен телефон/ мобилен телефон/електронен адрес. Друга информация, която се изисква, е такава за образование, професия, семейно положение, информация за брой деца под 18 год., имена и ЕГН на съпруг/съпругата, настоящ жилищен статус.

В приложената бланка на искане за кредит фигурира също така текст на декларация, която се подписва от физическото лице– кредитоискател, негов/а съпруг/а, като и от поръчителя/ солидарен длъжник, с която те потвърждават, че във връзка с искания кредит се съгласяват „У.К.Б.”АД самостоятелно или чрез „Е.Б.”ЕАД да използва техните лични данни за кредитни проверки, електронно или ръчно, както и да прави запитвания, и да получава данни относно гражданската регистрация от Националната база данни ”Население”, като тези данни да бъдат обработвани съобразно раздел1, точка5 от Допълнителните разпоредби на Закона за защита на личните данни.

Във връзка с изложеното по-горе, за да бъде налице законосъобразно обработване на данните, следва то да бъде извършено само при наличие на поне едно условие от дадените алтернативно в чл.4 от ЗЗЛД основания за допустимост на обработването, което следва да бъде налично към момента на започване на обработване на данните.

Тук могат да намерят приложение разпоредбите на чл.4, ал.1, т.2 и т.3 от ЗЗЛД, тъй като в съответствие с посоченото по-горе определение за „Обработване на лични данни”, предоставянето на данни от гражданската регистрация представлява обработване чрез предоставяне на данните.

Според т.2 на цитирания чл.4, ал.1 от ЗЗЛД, обработването на лични данни (в случая предоставянето на данни от гражданската регистрация на трети лица) се допуска, ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие. По смисъла на §1, т.13 от ЗЗЛД, „съгласие на физическото лице“ е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице по смисъла на ЗЗЛД са следните:

– да е свободно изразено– т.е. предоставено от физическото лице, по негово собствено желание, без елемент на принуда;

– да бъде недвусмислено– съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

– да е конкретно– т.е съгласието следва да бъде предоставено от лицето чиито данни ще се обработват в конкретен обем и за конкретни цели;

– да е информирано– лицето, предоставящо данните, следва да бъде уведомено от администратора относно: данните, които идентифицират администратора и неговия представител, целите на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните,информация за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им, информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг;

– да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.

Съгласно разпоредбата на т.3 на чл.4, ал.1 от ЗЗЛД, обработването се допуска, ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане. Подаване на искането за отпускане на кредит е основание за обработване на личните данни на кредитоискателя, негов/а съпруг/а, солидарен длъжник/поръчител на това основание по т.3 на чл.4, ал.1 от ЗЗЛД.

Във връзка с гореизложеното може да се приеме, че са налице основания за допустимо обработване на лични данни чрез предоставянето им, на основание чл.4, ал.1, т.2 и т.3 от ЗЗЛД,. по отношение на следните лица– кредитоискател, съпруг/съпруга на кредитоискателя и солидарен длъжник/попечител.

Следва да се направи обаче разграничение между предоставянето на информация от Национална база данни „Население” при наличие на условие за допустимост по смисъла на чл.4 от ЗЗЛД и предоставянето на достъп до Национална база данни „Население”. В редица нормативни актове, като например Закона за нотариусите и нотариалната дейност (ЗННД) и Закона за съдебната власт (ЗСВ), законодателят е разписал предоставянето на достъп до тази база данни. Обработването на лични данни, чрез предоставянето им от страна на администратора на лични данни- Министерството на регионалното развитие следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните. Няма правна пречка, при поискване от страна на „У.К.Б.” АД, Министерството на регионалното развитие да предоставя информация (а не достъп), съставляваща лични данни, в този смисъл са и изразените от КЗЛД становища с рег.№7934/2010г. и рег.№10818/2010г.

Чл. 106, ал.4 и ал.5 от Закона за гражданската регистрация (ЗГР) дава възможност Министърът на регионалното развитие и благоустройството /б.а. към настоящия момент Министърът на регионалното развитие/ да сключва споразумения за предоставянето на данни от регистрите и в това число от Национална база данни „Население“.

Във връзка с представените документи към искането за становище може да бъде споделено становището, изложено в писмото на г-н И.Г., а именно, че предвиденото в документите съгласие се отнася до действия, които Банката предприема във връзка с вземане на решение за отпускане на кредита и не кореспондира с останалите цели, за които е посочено, че данните ще се обработват- за анализ и оптимизиране на кредитните процеси, включително за събиране на непогасени задължения.

Прави впечатление, че в искането на „У.К.Б.”АД до Министерството на регионалното развитие се иска информация, съставляваща лични данни по смисъла на чл.2, ал.1 от ЗЗЛД и на трети лица по смисъла на определението, дадено в т.11 на параграф 1 от ДР на ЗЗЛД. Иска се информация за:

деца- ЕГН или дата на раждане, име, постоянен адрес,гражданство за починалите– номер, дата и място на съставяне на акта за смърт;

майка- ЕГН или дата на раждане, име, постоянен адрес,гражданство, за починалите- номер, дата и място на съставяне на акт за смърт;

баща- ЕГН или дата на раждане, име, постоянен адрес,гражданство, за починалите- номер, дата и място на съставяне на акт за смърт;

братя/сестри– ЕГН или дата на раждане, име, постоянен адрес, гражданство, за починалите- номер, дата и място на съставяне на акта за смърт, име на другия родител –ако е еднокръвен или едноутробен.

Не може да се възприеме становището на Банката, че в разглеждания случай са изпълнени едновременно условията, посочени в чл.4, ал.1, т.2 и т.3 от ЗЗЛД. Банката излага виждането, че са налице и двете посочени по– горе обстоятелства, тъй като от една страна физическите лица, страни по договор за кредит, предварително чрез декларация са дали изрично своето съгласие за „обработка” и съхранение на личните им данни, а от друга страна обработването е необходимо за изпълнение на задълженията по договор за кредит, включително за целите по организиране принудителното събиране на непогасените задължения по същите кредитни сделки.

Формално погледнато се прилага бланка на искане за отпускане на кредит, а не бланка на договор за кредит. Освен това лицата (кредитоискател, негов/а съпруг/а, солидарен длъжник/ поръчител) дават съгласие техните данните да се обработват „във връзка с искания кредит”, което може да се приеме като съгласие за действия, които Банката предприема във връзка с решение за отпускане на кредита и не кореспондира с останалите цели, за които е посочено, че се иска достъп до данните– анализ и оптимизиране на кредитните процеси, в това число и събиране на непогасени задължения.

В тази връзка не би могло да се приеме, че Банката на база на едно такова искане за кредит, по което може да се сключи договор, но може и да не се сключи, има правно основание, на посочените разпоредби- чл.4, ал.1, т.2 и т.3, да иска достъп до НБД „Население” и да обработва и данни на трети лица. За обработването на данни за тези лица няма съгласие по смисъла т.2 от ал.1 на чл.4 от ЗЗЛД. Правното основание по т.3 също е спорно, тъй като едно искане за кредит, формално не е договор. За да се предоставят данни за трети лица следва да се представят документи, от които да е видно, че е налице правен интерес на Банката за получаването им. Гражданско– процесуалния кодекс например дава възможност за издаване на съдебно удостоверение на лицата по смисъла на чл.186.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното:

Министерството на регионалното развитие може да предоставя конкретна информация, а не директен достъпна „У.К.Б.”АД за клиенти на Банката или за трети лица по смисъла на §1, т.11 от ДР на ЗЗЛД, от Национална база данни „Население“, подържана от ГД „ГРАО“– МРР,при наличие на условие за допустимо обработване по чл.4, ал.1 от ЗЗЛД.

В конкретния случай КЗЛД счита, че по отношение на следните лица– кредитоискател, съпруг/съпруга на кредитоискателя и солидарен длъжник/попечителса налице условия за допустимо обработване на лични данни, чрез предоставянето им на основание чл.4, ал.1, т.2 и т.3 от ЗЗЛД.