Становище на КЗЛД относно искане от двама от Изпълнителните директори на „К.Т.Б.“ АД по въпроси, касаещи приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев и Веселин Целков на редовно заседание, проведено на 05февруари2014г. (Протокол №2),разгледа искане №П-7934/16.12.2013г. подадено от двама от Изпълнителните директори на „К.Т.Б.“ АДпо въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).

Получено е искане за становище с вх.№П-7934/16.12.2013г. от двама от Изпълнителните директори на „К.Т.Б.“ АД(КТБ АД) с искане за разрешаване на достъп по електронен път до данниот база данни „ЕСГРАОН“, на основание чл.106, ал.1, т.3. В искането е посочено, че „К.Т.Б.“ АД управлява Фонд за жилищно обновяване (ФЖО) в изпълнение на схема BG161РО001-1.2.03 „Подкрепа за създаване на инструмент за финансов инженеринг- Фонд за жилищно обновяване" по Оперативна програма „Регионално развитие" 2007-2013г., съфинансирана от Европейския съюз чрез Европейския фонд за регионално развитие. ФЖО е създаден в съответствие с проведена процедура по реда на Закона за обществените поръчки и на база сключен договор за услуга №РД-02-29-28/21.03.2012г. между КТБ АД и Министерството на регионалното развитие (МРР). Посочено е, че средствата, които ФЖО управлява, са предназначени за отпускане на кредити и издаване на банкови гаранции и са генерирани от два източника- от Оперативна програма „Регионално развитие" 2007-2013г. и под формата на съфинансиране от КТБ АД.

В изпълнение на сключения договор, ФЖО предоставя нисколихвени кредити, пряко свързани с изпълнението на проект BG161PO001 -1.2.01-0001 „Енергийно обновяване на българските домове" по Оперативна програма „Регионално развитие" 2007-2013г. Кредити се предоставят на сдружения на собствениците и собственици на самостоятелни обекти- физически и юридически лица в многофамилни жилищни сгради, одобрени за финансиране по проекта, като проекта обхваща тридесет и шест градски центрове на територията на страната, посочени в постъпилото искане.

Посочено е, че проектът и ФЖО като допълващ проекта инструмент са с голяма обществена значимост на национално и на регионално ниво, с оглед това, че повишаването на енергийната ефективност в жилищните сгради е средосновните приоритети на европейското финансиране и е част от постигане на целите на Европа 20/20/20. В тази връзка е изказано и виждането, че по отношение на обработването на лични данни, в конкретния казус, е на лице условие за допустимост на обработването визирано в чл.4, ал.1, т.5 от ЗЗЛД, както и че обработването на данни от страна на КТБ в качеството й на ФЖО ще бъде извършвано при спазване на чл.4, ал.1, т.2 и т.3 от ЗЗЛД.

Посочено е, че получената информацията от достъпа до ресурса на Главна дирекция „Гражданска регистрация и административно обслужване“ (ГД „ГРАО“) ще бъде използван само и единствено за целите на и в изпълнение на проекта. КТБАД, в качеството й на ФЖО, е изразило виждане, че осигуряването на получаването на информация/достъп по електронен път до база данни на ЕСГРАОН ще облекчи и спести време на собствениците, които кандидатстват за получаване на кредити, тъй като няма да се изисква от тях да предоставят информация за семейно положение, съпруг/а, деца.

Като допълнителен аргумент освен обществената значимост на проекта и ФЖО, в искането е посочено, че са направените изявления от управители на Сдружения на собствениците и собствениците на самостоятелни обекти- клиентите на ФЖО, че същите губят много лично време при събиране на документация, свързана с гражданското им състояние, което от своя страна води до допълнителни утежнения при изпълнение целите на проекта, като предоставения достъп и получената информация от ЕСГРАОНот една страна ще осигури на Банката алтернативен източник за информация и от друга страна ще облекчи лицата при набиране на документи.

Предоставена е също информация, че служителите, които ще бъдат определени от изпълнителните директори на КТБАД да обработват получения/необходимия масив от данни от ЕСГРАОН ще притежават квалифициран електронен подпис издаден по реда, предвиден в Закона за електронния документ и електронния подпис. Във връзка с искания достъп КТБАД осъществила официална писмена комуникация с ГД „ГРАО" във връзка, като са били информирани, че има готовност за съдействие от страна на ГД „ГРАО", но след получаване на необходимото за това разрешение от КЗЛД, в съответствие с разпоредбите на чл.106, ал.1, т.3 от ЗГР. В тази връзка към искането са приложени и Копие на писмо, изпратено до Министерство на регионалното развитие изх.№ИФЖО-46/19.11.2013г.; Копие на писмо отговор на ГД „ГРАО" изх.№АУ04-263/04.12.2013г.; Копие от актуално състояние на КТБ АД; Копие от удостоверение за регистрация в регистъра на лични данни №0000065.

„К.Т.Б.“ АД е администратор на лични данни и като такъв е подал заявление за регистрация №164 и е вписан в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД под № 65, като е заявил поддържането на дванадесет броя регистри.

Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях. Методическото ръководство и контролът на дейностите, свързани с гражданското състояние, гражданската регистрация и автоматизираните информационни фондове, се осъществяват от Министерството на регионалното развитие със съдействието на Министерството на правосъдието и Комисията за защита на личните данни. С оглед на изложеното следва да се посочи, че министърът на регионалното развитие е администратор на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД. Като такъв, той е длъжен да предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Във всички случаи на осъществяване на действия по предоставяне на лични данни отЕСГРАОН, същите съставляват действия по обработване на лични данни по смисъла на легалната дефиниция, посочена в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

По смисъла на §1, т.5 от Допълнителните разпоредби на ЗЗЛД, „предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея и съставлява обработване на лични данни по смисъла на закона.

За да е налице законосъобразно обработване на лични данни, следва да е налице, за всеки един конкретен случай поне едно от визираните в чл.4, ал.1 от ЗЗЛД и дадени алтернативно условия за допустимост на обработването, т.е достатъчно е наличието на поне едно, за да е налице допустимо и законосъобразно обработване на лични данни.

За целесъобразно, в конкретния казус, следва да се вземат под внимание държавните приоритети в политиката на енергийния сектор и Националния план за икономическо развитие на Република България, в съответствие с Енергийната стратегия на страната. В тази връзка е и приетата Национална дългосрочна програма по енергийна ефективност (ЕЕ) до 2015 год.от Министерство на енергетиката и енергийните ресурси, Агенция по енергийна ефективност. Програмата конкретизира тезите на Управленската програма на Правителството и Енергийната стратегия на България, като формулира инициативите и мерките за повишаване на ЕЕ. Основната цел е намаляване енергийната интензивност на БВП, чрез намаляване енергийната интензивност във всички икономически сектори- крайни потребители на горива и енергия: индустрия, транспорт, услуги, бит и селско стопанство.

В Програмата е заложено, че едно от основните действия, насочени към ефективност в енергопотреблениетона сектора бит е подобряване енергийните характеристики на съществуващия жилищен фонд чрез обновяване, което да доведе до намаляване на топлинните загуби през ограждащите конструкции и елементи, повишаване експлоатационните качества на жилищата и постигане комфорт на обитаване, като едни от организационните и институционалните мерките за повишаване на ЕЕ в бит е Националната програма за обновяване на жилищните сгради в България, която отразява политиката по ЕЕ в сградния фонд.

В тази връзка е и стартиралото изпълнение на проект на МРР през април 2012г. за енергийно обновяване на многофамилни жилищни сгради, който се изпълнява от дирекция „Жилищна политика“, като този проект се финансира със средства от Оперативна програма „Регионално развитие“ 2007-2013, по приоритетна ос 1 на ОПРР „Устойчиво и интегрирано градско развитие“, схема BG161PO001/1.2-01/2011 „Подкрепа за енергийна ефективност в многофамилни жилищни сгради“

В рамките на проекта се очаква да бъдат енергийно обновени жилищни сгради в 36 града на територията на страната. Чрез проекта, държавата осигурява безвъзмездно част от стойносттана енергийното обновяване на жилищните сгради, а сдруженията на собствениците или самостоятелните собственици на жилища трябва да осигурят останалите средства за обновяването. Именно с цел да се подпомогнат собствениците на жилища при осигуряването на тяхната част от средствата,МРРБ създава специален инструмент за финансов инженеринг, а именно Фонд за жилищно обновяване. Фондът е създаден в рамките на Оперативна програма „Регионално развитие“ 2007-2013, като управлението на фонда е възложено с обществена поръчка на „К.Т.Б.“ АД, която осигурява съфинансиране в допълнение към средствата, предоставени от оперативната програма. С оглед изложеното считам, че трябва да се отчете изключителната обществена значимост на проекта, като в тази връзка може да се разгледа възможността по отношение на наличие на основание за допустимост на обработване на търсените лични данни, а именно чл.4, ал.1, т.5 от ЗЗЛД- обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес. В случай на отчитане на възможност за наличие на това основание за допустимост на обработване на лични данни в конкретния казус, считам за необходимо „К.Т.Б.“ АД, при подаване на искането за съответния достъп и получаване на данни, да представя пред администратора, предоставящ данните- Министерство на регионалното развитие- ГД „ГРАО“, надлежни доказателства, от които да става видно, че за лицата, за които се искат данните е налице съответно условие за допустимост на обработването им чрез тяхното предоставяне, както и връзката между тези лица и съответното основание.

Горното считам за необходимо, тъй като доказателствената тежест по отношение на наличие на едно от основанията за допустимост на обработването на лични данни е в тежест на администратора, искащ съответния обем данни- „К.Т.Б.“ АД, като преценката по отношение на неговото наличие, за всеки един конкретен случай, следва да бъде извършена от администратора, предоставящ данните– Министерство на регионалното развитие- ГД „ГРАО“. Следва да се има предвид и административно наказателната разпоредба на чл.42, ал.1 от ЗЗЛД, съгласно която администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100000лв., в случай че обработва лични данни, без да е налице поне едно от дадените алтернативно в закона основания за допустимост на обработванена лични данни и в нарушение на принципите за тяхната обработка. Именно поради изложеното по-горе е изключително важно да се даде възможност на администратора на лични данни- Министерство на регионалното развитие- ГД „ГРАО“, поддържащ съответния регистър, да извърши самостоятелно горепосочената преценка.

Правото на защитата на физическите лица от злоупотреби с личната им информация и неправомерна намеса в техния личен живот се гарантира от принципите за законосъобразно, целесъобразно и пропорционално обработване на данните, които принципи са в основата на действащото законодателство, регулиращо обществените отношения в сферата на защитата на личните данни. За да е налице добросъвестно обработване, администраторът на лични данни следва предварително да е уведомил точно и правилно физическото лице за целите на обработката, като не използва данните за цели, различни от обявените. Обработването трябва да е законосъобразно, т.е. администраторът на лични данни трябва да съблюдава всички разпоредби на законите и подзаконовите актове, свързани със защитата на личните данни и да действа в рамките на притежаваните, съгласно тях, правомощия. Друго основно правило е, че данните следва да бъдат пропорционални и да съответстват адекватно на целите, за които се обработват, т.е. предоставеният от ЕСГРАОН обем данни следва да бъде съотносим и ненадхвърлящ целта, за която е необходим. Администраторът на лични данни- „К.Т.Б.“ АД следва да обработва само минимално необходимото количество информация за всяко физическо лице, нужно за целите на обработването, като допълнителни данни за лицето могат да се записват само когато събраната вече информация е недостатъчна за постигането на обявените цели. В противен случай допълнителната информация ще бъде „прекомерна“ за нуждите на обработването и поради това не трябва да бъде съхранявана.

Относно искането за предоставяне на директен достъп до ЕСГРАОН, с оглед спецификата на основанието за допустимост на обработване на данните (чл. 4, ал.1, т.5 от ЗЗЛД) същото ще бъде налично само и единствено по отношение на физически лица– клиенти на ФЖО, докато ако бъде разрешен директен достъп, то ще се създадат предпоставки и възможност за достъпване на данни на физически лица, за които това условие за допустимост няма да е на лице.

Друго основание, което е посочилав искането си„К.Т.Б.“ АД за предоставяне на директен достъп по електронен път до ЕСГРАОН, в качеството й на ФЖО, е че чрез получаване на данни относно семейно положение, съпруг/а, деца, които ще бъдат използвани само за целите на проекта, и които ще дадат възможност за коректна преценка на кредитоспособността на клиентите на ФЖО.

Във връзка с това, следва да се има предвид, че преди предоставяне на кредит банката задължително провежда анализ на кредитоспособността на кредитоискателя. Под кредитоспособност на определено физическо лице се има предвид не само обективната способност, но и субективната готовност на това лице да изпълни всички поети от него задължения към банката съгласно договора за кредит, като за целта служат средства, получени от обичайната му дейност. Границите на анализа зависят от вида на искания заем, неговия размер, срок, финансовите резултати от дейността на кредитоискателя, наличните обезпечения и редица други обстоятелства, индивидуализиращи всяко отделно искане за кредит. В искането си за кредит и чрез приложените към него документи, кредитоискателят трябва да убеди банката за наличието на надеждни и постоянни източници на доходи, с които ще бъде в състояние да обслужва и погасява искания заем, съобразно предвидените в договора условия при кандидатстването за кредит, а не банката да събира служебно съответните документи и информация, които да доказват и гарантират кредитоспособността на потенциалните им клиенти, които по собствена воля кандидатстват за кредит, в т.ч. и за кредитен продукт „Жилищно обновяване“.

Твърдението, че има направени изявления от клиенти на ФЖО– управители на Сдружения на собствениците и собственици на самостоятелни обекти, че губят много лично време при събиране на документация, свързана с гражданското им състояние и изявлението, че това води до утежнение при изпълнение на целите на проекта, че чрез предоставянето на директен достъп по електронен път до ЕСГРАОН на „К.Т.Б.“ АД, на същите ще им бъде спестено време и по този начин ще бъдат облекчени, не може да се приеме като сериозен довод в подкрепа на разрешаване на искания достъп.

Във връзка с гореизложеното следва извода, че няма правна пречка при възникнала необходимост и при поискване от страна на „К.Т.Б.“ АД, както и при наличие на условие за допустимост МРР- ГД "ГРАО", в качеството си на администратор на лични данни по отношение на ЕСГРАОНда предостави определен обем лични данни при поискване от страна на „К.Т.Б.“ АД, в качеството й на управляващ ФЖО, за конкретна цел, при наличието на конкретни предпоставки, а не директен достъп, като преди това извърши преценка относно необходимостта, пропорционалността и целесъобразността на поисканата информация.

Едновременно с наличието на условие за допустимост и спазване на принципите за обработване на лични данни, администраторът следва да изпълни и задълженията си, произтичащи от разпоредбите на чл.19 и чл.20 от ЗЗЛД, съгласно които администраторът на лични данни е задължен да предостави на физическото лице, чиито данни обработва, следната информация: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни.

Информацията по чл.19, ал.1, т.3- 5 и чл.20, ал.1, т.3– 5 от ЗЗЛД, както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят, като тази преценка се извършва от администратора за всеки конкретен случай.

За извършени от администратора на лични данни нарушения по чл.19, ал.1 и чл.20, ал.1 от ЗЗЛД, е предвидено наказание в отделна санкционна норма, като размера на санкцията варира от 2000 до 20000лв.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изрази следното

Министерството на регионалното развитие- ГД "ГРАО" може да предоставя на„К.Т.Б.“ АД, в качеството й на управляваща Фонд жилищно обновяване в изпълнение на схема BG161РО001-1.2.03 „Подкрепа за създаване на инструмент за финансов инженеринг- Фонд за жилищно обновяване" по Оперативна програма „Регионално развитие" 2007-2013г.данни под формата на конкретна информация относно семейно положение, съпруг/а, деца, а не директен достъп до ЕСГРАОН, по постъпили искания отнейна страна за целите наизпълнение на проект BG161PO001 -1.2.01-0001 „Енергийно обновяване на българските домове" по Оперативна програма „Регионално развитие" 2007-2013г.по законоустановения за това ред и при спазване разпоредбите на чл.4, ал.1 и чл.2, ал.2 от Закона за защита на личните данни. Данните следва да бъдат във вид и обем не надвишаващ тези цели.

Преценката за наличие или липса на законово основание за предоставяне на лични данни във всеки конкретен случай е изцяло на администратора на лични данни, предоставящ данните.