СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Рег. № ПНМД-01-41/14.04.2020г.
гр. София, 26.05.2020
Относно: Предоставяне на данни на общините от регистри Национална база данни ,,Население” и Класификатор на настоящите и постоянните адреси с първичен администратор Министерството на регионалното развитие и благоустройството, чрез средата за междурегистров обмен Regix с цел проверка на подаваната от родителите информация, която се ползва единствено за приема на децата в общинските детски градини и ясли и на учениците в първи клас на общинските училища.
Комисията за защита на личните данни (КЗЛД) в състав: председател Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 19.05.2020г., във връзка с постъпили в Комисия за защита на личните данни (КЗЛД) няколко идентични искания за изразяване на становище от страна на същата, обсъди въпроса за наличието на правна възможност за получаване на справки от общини от регистър Национална база данни ,,Население” и Класификатора на настоящите и постоянните адреси с първичен администратор Министерството на регионалното развитие и благоустройството (МРРБ), чрез средата за междурегистров обмен Regix, с цел проверка на подаваната от родителите информация, която се ползва за приема на децата в общинските детски градини и ясли и на учениците в първи клас на общинските училища. Исканията са свързани с получен отказ или прекратяване на подаването на такива справки от страна на Държавната агенция ,,Електронно управление” и Главна дирекция ,,Гражданска регистрация и административно обслужване” към Министерство на регионалното развитие и благоустройството. Като мотив се посочва липсата на законово основание.
КЗЛД счете, че е целесъобразно да изрази принципно становище по посочения проблем, като с него официално да бъдат запознати председателя на Държавната агенция ,,Електронно управление” и директора на Главна дирекция ,,Гражданска регистрация и административно обслужване” към МРРБ.
Настоящият анализ е базиран изцяло на трайната практика на КЗЛД, свързана с обработването на лични данни на субекти на данни от регистър ГРАО, както и на съдебната практика по жалби с такъв предмет и на указанията на Европейския комитет по защита на данни в тази насока. Становището на КЗЛД има консултативен характер за администратора на лични данни при прилагане на относимите правни норми. Това становище има единствено разяснителен характер по приложението на коментираните в него норми, без да пораждат права и/или задължения за заинтересованите страни. Съгласно Регламент(ЕС) 2016/679, администраторът на лични данни сам или съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да са съответстват на закона и регламента. За предприетите от администратора или съвместните администратори действия по обработване на данните се прилагат както правилата на отчетност, прозрачност, добросъвестност, така и нормите отнасящи се до носене на административно-наказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях обработвания.
Правен анализ:
Гражданската регистрация включва съвкупност от данни за едно лице, които го отличават от другите лица в обществото и в семейството му, в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес и др. Гражданската регистрация на физическите лица в Република България се основава на данните в актовете за тяхното гражданско състояние и на данните в други актове, посочени в закон. Вписването в регистъра на населението се извършва в общините по постоянен адрес на физическите лица. В регистрите на актовете за гражданското състояние се вписват (в населеното място, в което е настъпило събитието) събитията раждане, брак и смърт за всички лица, които към момента на настъпване на събитието са български граждани, и за лицата, които не са български граждани, но към момента на настъпване на събитието се намират на територията на Република България, като отговорността за гражданската регистрация на територията на конкретната община е на кмета на общината, съобразно разпоредбата на чл.4, ал.3 от Закона за гражданската регистрация (ЗГР).
Съгласно чл.22 от ЗГР, регистърът на населението се поддържа в електронен вид и формира Национална база данни „Население”. Регионална база данни „Население” е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в областта. Локална база данни „Население” е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в общината. В чл.24 от ЗГР е разписано, че общинската администрация издава удостоверения въз основа на регистъра на населението.
Регистрите за гражданското състояние и регистърът на населението се създават и поддържат от Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН), която е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях (чл.100-101 ЗГР).
Съгласно чл.3 от Закона за електронното управление (ЗЕУ) първичният администратор на данни изпраща служебно и безплатно данните на всички административни органи, на лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги, които въз основа на закон също обработват тези данни и са заявили желание да ги получават. По смисъла на чл.2, ал.2 от ЗЕУ първичен администратор е административен орган, който по силата на закон събира или създава данни за гражданин или организация за първи път и изменя или заличава тези данни. Той предоставя достъп на гражданите и организациите до цялата информация, събрана за тях. Същевременно чл.8, ал.2 от ЗЕУ задължава административните органи, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, да предоставят всички услуги в рамките на своята компетентност и по електронен път, освен ако закон предвижда особена форма за извършване на отделни действия или издаване на съответни актове. Това задължение е скрепено и с изрично нормативно изискване за събиране, обработване и предоставяне на лични данни само в минимално необходимия обем за предоставяне на съответната услуга, като е гарантирано обработване на данните само за посочените цели, освен при наличие на изрично съгласие на субектите на данни (чл.16 от същия закон). ЗЕУ вменява задължение на Държавната агенция „Електронно управление” да подсигури и поддържа техническа инфраструктура и информационна система, която да позволи фактическото и ефективно прилагане на електронното предоставяне на услуги. Съгласно Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги, подаването на електронни документи се осъществява чрез публично достъпно уеб базирано приложение в Единния портал за достъп до електронните административни услуги и в официалните интернет страници на доставчиците на електронни административни услуги.
С оглед на приетата от Министерски съвет Стратегия за развитие на държавната администрация 2014– 2020год. и пътна карта към нея е заложено въвеждането на комплексно административно обслужване като иновативна форма в полза на гражданите и бизнеса. В тази връзка, с протоколно Решение№23.8 от заседание на Министерски съвет, проведено на 19юни 2013г. е приет Базисен модел на комплексно административно обслужване, представляващ обща универсална рамка за въвеждане на комплексно административно обслужване в държавната администрация. Съгласно него, следва да се прилага служебното събиране на доказателства, регламентирано в чл.36 от Административнопроцесуалния кодекс във връзка с изискването за еднократно събиране и създаване на данни и служебно уведомяване, предвидени в чл.2, ал.1 и чл.3 от Закона за електронното управление.
С Решение №338 на Министерския съвет от 23юни 2017г. са предприети мерки за намаляване на административната тежест върху гражданите и бизнеса чрез премахване на изискването за представяне на някои официални удостоверителни документи на хартиен носител. В приложението към т.1, б.„а” на ПМС са дефинирани съответните удостоверителни услуги. За издаването на удостоверенията от списъка на услугите, администрациите използват справки от регистри, като съдържащите се в тях данни се извличат от администрациите автоматизирано по електронен път.
Възможността за предоставяне на тези услуги е реализирана чрез средата за междурегистров обмен (RegiX), която предоставя интерфейс за автоматизирано подаване и обслужване на стандартизирани заявки за административни услуги по електронен път. С разработените компоненти, необходими за свързване на информационните системи на администрациите, е осигурена възможността за потребителите на информация да извличат данни от основни регистри, сред които са Национална база данни „Население”, регистър БУЛСТАТ, Имотен регистър, Търговски регистър.
Посредством междурегистровия обмен е създадената възможност за реализиране на вътрешни електронни административни услуги, което е предпоставка за постигане на една от основните цели на електронното управление, залегнало и в чл.58а, т.5 от ЗЕУ– комплексно административно обслужване на гражданите и бизнеса. Този обмен се осъществява след идентифициране на всеки административен орган, регистриран в обща система за достъп, поддържана от Министерския съвет (Regix), която издава уникален идентификационен код за достъп на отделната администрация, който позволява проследяване на всяко влизане в системата за междурегистърен обмен и установяване на вида и обема данни, черпени от съответните достъпни регистри.
Регламент (ЕС)2016/679 е нормативният акт, определящ правилата, свързани със защитата на физическите лица при обработването на личните им данни и относно свободното движение на тези данни.
Съгласно чл.4, т.1 от Регламент(ЕС)2016/679, „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”) пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. „Обработване на данните” на субекта е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване (чл.4, т.2 от Общия регламент относно защитата на данните).
Във всички случаи на осъществяване на действия по предоставяне на лични данни на субекта или на трети лица от регистрите на населението или от регистрите на актовете за гражданското състояние, същите съставляват действия по обработване на лични данни по смисъла на Общия регламент относно защитата на данните.
Предоставянето на информация, съдържаща лични данни, от страна на администратор, в конкретния случай МРРБ, на друг администратор в лицето на община, би могло да се извърши само при наличието на една от хипотезите, визирани в чл.6, пар.1 от Регламент(ЕС) 2016/679 (условия за законосъобразно обработване на данни) и при стриктното спазване на принципите, разписани в чл.5, пар.1 от същия (принципи, свързани с обработването на данните). От особена важност в конкретния случай е да се определи изчерпателно обемът от данни, достатъчен и необходим за изпълнението на поставените пред администраторите цели
Съгласно чл.106, ал.1 от Закона за гражданската регистрация (ЗГР), данните от ЕСГРАОН се предоставят на:
1. българските и чуждестранните граждани, както и на лицата без гражданство, за които се отнасят, а също така и на трети лица, когато тези данни са от значение за възникване, съществуване, изменение или прекратяване на техни законни права и интереси;
2. държавни органи и институции съобразно законоустановените им правомощия;
3. български и чуждестранни юридически лица – въз основа на закон, акт на съдебната власт или разрешение на Комисията за защита на личните данни.
Съгласно чл.256, ал.1, т.2 от Закона за предучилищното и училищното образование (ЗПУО) органите на местното самоуправление осигуряват и контролират обхвата на подлежащите на задължително предучилищно и училищно образование деца и ученици.
Съгласно разпоредбите на чл.59. ал.1 отЗакона за предучилищното и училищното образование – условията и редът за записване, отписване и преместване в общинските детски градини се определят с наредба на общинския съвет, а за държавните детски градини – с акт на съответния финансиращ орган. Във връзка с чл.7, ал.1 от Наредба№5 от 03.06.2016г. за предучилищното образование- записването, отписването и преместването в общинските детски градини за всеки вид организация се извършват съгласно наредба на общинския съвет, а за държавните детски градини- с акт на съответния финансиращ орган.
Предвид чл.24, ал.1 от ЗПУО, където се посочва, че детската градина е институция в системата на предучилищното и училищното образование и следователно попада в хипотезата на чл.106, ал.1, т.2 от ЗГР, съгласно който данните от ЕСГРАОН се предоставят на държавни органи и институции съобразно законоустановените им правомощия.
Идентично е съдържанието на чл.25, ал.1 от ЗПУО, определящо статута на училищата (чл.25, ал.1. Училището е институция в системата на предучилищното и училищното образование, в което…)
От гореизложеното следва, че общините обработват лични данни на основание чл.6, пар.1, б.„в” от Регламент (ЕС) 2016/679, когато обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора. В случая следва да се вземе предвид съображение41 от Общия регламент относно защитата на данните, съгласно което, когато се прави позоваване на правно основание или законодателна мярка, това не налага непременно приемането на законодателен акт от парламент, без с това да се засягат изискванията съгласно конституционния ред на съответната държава членка. Такова правно основание или законодателна мярка обаче следва да бъдат ясни и точни и прилагането им следва да бъде предвидимо за лицата, за които се прилагат. Нещо повече, доколкото МРРБ попада в обхвата на легалната дефиниция на „първичен администратор” по смисъла на ЗЕУ, за него е налице задължение за служебно и безплатно предоставяне на исканите от общините данни по силата на чл.3 от същия закон, след като тези данни вече се обработват от заявителя и той, в качеството си на административен орган, е изразил желание за получаването им с цел поддържане в актуален вид.
При спазването на принципите за обработване на личните данни, по-специално принципът за ограничаване на данните, е необходимо да се изясни обемът от данни, които са нужни на общините, за да изпълнят поставените цели, а именно– да проверят декларираните от родителите факти и обстоятелства.
Същевременно, съгласно чл.5, пар.1, б„г” от Общия регламент относно защитата на данните, задължение на общините, в качеството им на администратор на лични данни, е да поддържат данните точни и при необходимост да ги актуализира, както и да предприемат всички разумни мерки, за да гарантират своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.
Предвид горното, и на основание чл.58, ал.3 от Регламент(ЕС) 2016/679, Комисията за защита на данните изрази следното
СТАНОВИЩЕ:
1. В изпълнение на нормативно установените си задължения, общините осъществяват справки чрез еднократен достъп от регистрите на ЕСГРАОН на основание чл.106, ал.1, т.2 от Закона за гражданската регистрация във вр.чл.6, пар.1, б.„в” от Регламент(ЕС) 2016/679, от следните полета: справка за валидност на физическо лице, справка за постоянен адрес и справка за настоящ адрес от регистри Национална база данни ,,Население”, единствено за лицата, чиито данни вече се съдържат в електронната система за прием на ученици в първи клас и в електронната система за прием на деца в общинските детски градини и ясли.
2. На посоченото основание общините нямат право на директен достъп до регистрите на ЕСГРАОН.
3. При съблюдаване на принципите, визирани в чл.5, пар. 1, б.„б” и „г” от Регламент(ЕС) 2016/679, общините следва да обработват достъпените данни за целите на извършване на проверка за тяхната достоверност.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
