СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Рег. №НДМСПО-01-235/2019г.
гр. София, 20.06.2019г.
ОТНОСНО: Качеството на дружества, предлагащи платежни услуги
Комисията за защита на личните данни (КЗЛД, Комисията) в състав: председател: Венцислав Караджов и членове: Цветелин Софрониев и Веселин Целков, на заседание, проведено на 19.06.2019г., разгледа искане за становище (вх.№НДМСПО-01-235/11.06.2019г.) от кмета на Столична община (СО), г-жа Йорданка Фандъкова, с което се иска становище относно дефинирането на качеството „администратор” или „обработващ лични данни” на контрагент на СО– „Изипей” АД.
С цел улесняване плащането на дължими данъци и такси от страна на задължените лица по Закона за местните данъци и такси (ЗМДТ) между Столична община и търговски дружества се сключват договори с предмет „Приемане на суми по сметки на СО, предназначени за заплащане на данъци по ЗМДТ, такса битови отпадъци и такса притежаване на куче, както и задължения и лихви за минали години”. Изпълнители по договорите са банки, пощенски оператори и други дружества като „Изипей” АД, които предоставят платежни услуги по реда на Закона за платежните услуги и платежните системи (ЗПУПС).
Визираните договори съдържат клауза, която определя изпълнителя като „обработващ лични данни” по смисъла на §1, т.3 от ДР на Закона за защита на личните данни (ЗЗЛД). Следва да се отбележи, че договорите са сключени при действието на предходната редакция на ЗЗЛД и преди КЗЛД да се произнесе със Становище (рег.№НДМСПО-01-873/10.08.2018г.) относно качеството на банките при взаимоотношенията им с клиенти. За целите на привеждане на договорите в съответствие с изискванията на Регламент(ЕС)2016/679, между СО и изпълнителите по договорите е разменена кореспонденция, като от страна на контрагентите е изразено категорично становище, че определянето им в договорите като „обработващи лични данни” не отразява правилно същността на процеса попредоставяне на услугата за заплащане на суми към бюджета на Столична община. С оглед спецификата на извършваната дейност, изразяват позиция, че са самостоятелни администратори на лични данни, като се позовават на аргументите, изложени в горепосоченото становище на КЗЛД. Нещо повече, излагат доводи, че предвид разликата между администратор и обработващ и с оглед обстоятелството, че вторият не действа самостоятелно, а от името на администратора и само по документирано негово нареждане, то дейностите по предмета на договорите при съобразяване с чл.28 от Регламента биха били практически неизпълними.
Правен анализ:
Предоставянето на платежни услуги на физически и юридически лица– предмет на визираните по-горе договори, е нормативна дейност, изчерпателно уредена в Закона за платежните услуги и платежните системи (ЗПУПС) и съответните подзаконови нормативни актове, която се осъществява от банки, дружества за електронни пари, платежни институции и др. въз основа на издаден лиценз и под надзора на Българска народна банка (БНБ). Тук следва да се отбележи, че едно от условията за издаване на лиценз е осигуряването на „правила за сигурност, които защитават ползвателите на платежни услуги срещу установените рискове, измамите или незаконното използване на чувствителни и лични данни” (арг. чл.10, ал.4, т.6, б.„к” от ЗПУПС). В допълнение, разпоредбата на чл.3, ал.4 от ЗПУПС задължава доставчиците на платежни услуги и платежните системи да обработват лични данни на ползватели на платежни услуги при спазване на изискванията за защита на личните данни.
Във връзка с гореизложеното, за Столична община е налице нормативна пречка за даване на указания на „Изипей” АД как да обработва личните данни, тъй като и двете страни по договора са задължени да спазват съответното специално законодателство, в т.ч. и относимите разпоредби, касаещи определянето на целите и средствата за обработване. Това е така и по отношение на специфичните задължения на доставчиците на платежни услуги, вменени им по силата на Закона за мерките срещу изпирането на пари. На практика това означава, че Столична община и „Изипей” АД са ограничени при определянето на целите и средствата за обработване на личните данни, необходими за предоставяне на платежни услуги. Видно е, че страните по договора не биха могли да изпълнят императивните изисквания (напр. извършването на одити от СО) на чл.28 от Общия регламент, уреждащ отношението „администратор”– „обработващ лични данни”.
Предвид изложените по-горемотиви, може да се приеме, че доставчиците на платежни услуги, упражнявайки дейност в условията на строга и изчерпателна нормативна регламентация, въз основа на лиценз и под контрола на изрично овластени за това публични органи, подобно на банките и пощенските операторине биха моглида се разглеждат като обработващи лични данни, а като самостоятелни администратори. В тази връзка, КЗЛД е изразила аналогична теза в редица свои становища /рег.№НДМСПО-01-859/01.08.2018г., НДМСПО-17-604/20.06.2018г. и НДМСПО-01-873/10.08.2018г./ налични на официалната ѝ интернет страница.
Във връзка с горното и на основание чл.58, пар.3, буква„б” от Регламент(ЕС)2016/679 ,Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Подобно на банките и пощенските оператори, доставчиците на платежни услуги, упражняващи своята дейност в условията на строга и изчерпателна нормативна регламентация, не биха могли да се разглеждат като обработващи, а като самостоятелни администратори на лични данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цветелин Софрониев /п/ | |
| Веселин Целков /п/ |
