СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег.№П-4938/2017г.
гр. София, 10.10.2017г.
ОТНОСНО: Предоставяне на лични данни от ЕСГРАОН на длъжници на експлоатационни дружества и на банкови и небанкови финансови институции.
Комисията за защита на личните данни (КЗЛД) в състав: членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на свое заседание, проведено на 13.09.2017г., разгледа преписка с рег.№П–4938/06.07.2017г. от г-жа Таня Христова, кмет на Община Габрово. В него тя информира за зачестили искания от експлоатационни дружества и банкови организации за предоставяне на лични данни на техни длъжници. Във връзка с горното, г-жа Христова моли за становище относно законосъобразността на същото.
Правен анализ
Гражданската регистрация включва съвкупност от данни за едно лице, които го отличават от другите лица в обществото и в семейството му в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес и др. Гражданската регистрация на физическите лица в Република България се основава на данните в актовете за тяхното гражданско състояние и на данните в други актове, посочени в закон. Вписването в регистъра на населението се извършва в общините по постоянен адрес на физическите лица. В регистрите на актовете за гражданското състояние се вписват (в населеното място, в което е настъпило събитието) събитията раждане, брак и смърт за всички лица, които към момента на настъпване на събитието са български граждани, и за лицата, които не са български граждани, но към момента на настъпване на събитието се намират на територията на Република България, като отговорността за гражданската регистрация на територията на конкретната община е на кмета на общината, съобразно разпоредбата на чл.4, ал.3 от ЗГР.
Съгласно чл.22 от ЗГР, регистърът на населението се поддържа в електронен вид и формира Национална база данни „Население“. Регионална база данни „Население“ е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в областта. Локална база данни „Население“ е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в общината. В чл.24 от ЗГР е разписано, че общинската администрация издава удостоверения въз основа на регистъра на населението.
Регистрите за гражданското състояние и регистърът на населението се създават и поддържат от Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН), която е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях (чл. 100-101 ЗГР). Съгласно чл.106, ал.1 от ЗГР, данните от ЕСГРАОН се предоставят на:
1. българските и чуждестранните граждани, както и на лицата без гражданство, за които се отнасят, а също така и на трети лица, когато тези данни са от значение за възникване, съществуване, изменение или прекратяване на техни законни права и интереси;
2. държавни органи и институции съобразно законоустановените им правомощия;
3. български и чуждестранни юридически лица – въз основа на закон, акт на съдебната власт или разрешение на Комисията за защита на личните данни.
Във всички случаи на осъществяване на действия по предоставяне на данни от регистрите на населението или от регистрите на актовете за гражданското състояние, същите съставляват действия по обработване на лични данни по смисъла на легалната дефиниция, посочена в §1, т.5 от Допълнителните разпоредби на ЗЗЛД, „предоставяне на лични данни“ са действия по цялостното или частично пренасяне на лични данни от един администратор на друг или към трето лице на територията на страната или извън нея и съставлява обработване на лични данни по смисъла на закона.
Предоставянето на информация, съдържаща лични данни, от длъжностните лица по гражданското състояние, може да се извършва само при наличие на някое от алтернативните основания, изчерпателно разписани в чл.4, ал.1 от ЗЗЛД, при стриктно спазване на принципите, визирани в чл.2, ал.2 от ЗЗЛД и в съответствие с разпоредбите на чл.106 от ЗГР.
Доказателствената тежест по отношение на наличието на едно от основанията за допустимост на обработването на лични данни е на субекта, искащ съответния обем информация, като преценката за всеки един конкретен случай е на администратора, предоставящ данните– съответната община.
Законът за гражданската регистрация се явява специален по отношение на Закона за защита на личните данни при предоставяне на лични данни на трети лица. В тези случаи администраторът на лични данни следва да спазва разпоредбите на чл.106, ал.1 от ЗГР, където са изброени лицата и условията, при които се предоставят данни от гражданската регистрация, съдържащи се в регистрите на населението. В чл.106, ал.1, т.3 от ЗГР са включени български и чуждестранни юридически лица– искатели на данни от ЕСГРАОН. Именно в тази разпоредба попадат експлоатационните дружества и банковите и небанкови финансови институции. В нея са разписани трите правни основания, на база на които се разрешава предоставянето на данни, а именно:
– въз основа на закон;
– акт на съдебната власт; или
– разрешение на Комисията за защита на личните данни.
В първите две хипотези, исканията се отправят директно пред съответния администратор, поддържащ НБД „Население“, като той прави преценка по отношение на съществуването на основанията за предоставяне– нормативно основание или акт на съдебната власт.
В третата хипотеза, КЗЛД осъществява преглед на предоставените от юридическото лице доказателства за предоставяне на данни от ЕСГРАОН и прави преценка за основателността на искането и съответно издава разрешение за предоставянето. Следва да се отбележи, че евентуалният отказ на КЗЛД да издаде разрешение на основание чл.106, ал.1, т.3, предложение трето от ЗГР не преклудира правните възможности пред банковата или небанкова финансова институция да получи исканата информация, съдържаща лични данни. В този смисъл дружеството разполага и с друг законово регламентиран механизъм, а именно да се снабди с данни от ЕСГРАОН въз основа на акт на съдебната власт (чл. 106, ал.1, т.3, предложение второ от ЗГР).
Трайната практика на КЗЛД във връзка с издаването на разрешения за достъп до лични данни от ЕСГРАОН по реда на чл.106, ал.1, т.3, предл. 3 от ЗГР е следната:
1. По отношение на експлоатационните дружества:
Отношенията между експлоатационните дружества и техните клиенти/потребители са облигационни и по правило са уредени в Общите условия на договорите между тях. По силата на общите условия, всеки потребител представя на експлоатационното дружество идентифицираща информация– лични данни за целите на възникване на договорните взаимоотношения между тях. Обикновено са включени и разпоредби, съгласно които ползвателят се задължава да съобщава в 30-дневен срок в писмена форма за всяка промяна в данните, както и за промени свързани със собствеността на съответния имот.
При това положение експлоатационните дружества обработват личните данни на своите клиенти на основание чл.4, ал.1, т.3 от ЗЗЛД– обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане. В този контекст е допустимо и законосъобразно експлоатационните дружества да получат от съответната община информация за клиенти на дружеството (три имена, данни относно постоянен и настоящ адрес, данни относно евентуално настъпила смърт на лицето) с цел актуализация на съответните договори. В тази хипотеза е приложимо основанието на чл.4, ал.1, т.7 от ЗЗЛД– обработването е необходимо за реализиране на законните интереси на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице.
По-различна е ситуацията с единния граждански номер (ЕГН). Съгласно чл.11, ал.1 от ЗГР, ЕГН е административен идентификатор на подлежащите на регистрация физически лица в Република България. Това е уникален номер, чрез който физическите лица се определят еднозначно, т.е. той представлява индивидуализиращ белег. ЕГН е един от елементите и данните, чрез които се индивидуализира конкретно физическо лице, като обективно невъзможно е да има съвпадение. Тази висока степен на индивидуализация следва да се прилага само в определени случаи, когато е абсолютно необходима, като редът и условията за обработване на ЕГН се уреждат в специални закони (чл. 1, ал.8 от ЗЗЛД).
Предвид липсата на изрична разпоредба в нормативен акт, която да регламентира обработването на ЕГН от експлоатационните дружества, за общината не възниква законово задължение да предостави исканата информация, съответно следва да се направи преценка на необходимостта и пропорционалността на подобно обработване.
Позицията на КЗЛД в подобни случаи е, че с оглед разпоредбата на чл.2, ал.2 от ЗЗЛД, както и на чл.1, ал.8 от ЗЗЛД, искането за предоставяне на ЕГН е прекомерно и недостатъчно обосновано. В същото време, при условие че експлоатационните дружества разполагат с актуални данни за контакт със своите клиенти, включително със съдействието на съответните общини, заинтересованото дружество би могло да изиска от лицата да изпълнят задълженията си за актуализиране на информацията, съгласно разпоредбите на Общите условия и по този начин да защити ефективно своя правен интерес.
2. По отношение на банковите и небанкови финансови институции с оглед проучване на кредитоспособността на физическите лица при отпускане на кредити:
Необходимостта от достъп до исканата информация произтича от обстоятелството, че банковата или небанкова финансова институция, в качеството си на кредитна институция, извършва оценка на кредитоспособността на клиентите-физически лица, като елемент от кредитния процес, включващ започване на преговори за сключване на договор за кредит, проверка на идентификационните данни на клиентите, които тя е длъжна да направи по закон, както и оценка на кредитния риск. Посочените обстоятелства са предпоставка за достъп на банковата или небанкова финансова институция до данни от НБД „Население“ относно възникване, съществуване, изменение и прекратяване на нейни законни права и интереси. В този смисъл е и относимата правна уредба в Република България.
Съгласно чл.4 от Закона за мерките срещу изпирането на пари (ЗМИП), респ. правилника за неговото прилагане, при встъпване в търговски отношения с физическо лице, финансовата институция е длъжна да идентифицира лицето, като събере определен набор от данни за него, както и да извърши проверка на тези данни. Проверка на вече предоставена от физически лица информация може да бъде извършена единствено чрез справка в официален регистър, съдържащ съответните данни, какъвто е НБД „Население“.
Във връзка с осъществяваната от банковата или небанкова финансова институция дейност по отпускане на потребителски кредити по реда на Закона за потребителския кредит (ЗПК) или Закона за кредити за недвижими имоти на потребители (ЗКНИП), тя е длъжна да извършва оценка на кредитоспособността на кредитополучателите в изпълнение на чл.16, ал.1 от ЗПК, респективно чл.13, ал.1 от ЗКНИП. Съгласно въпросните разпоредби, преди сключване на договор за кредит, кредиторът оценява кредитоспособността на потребителя въз основа на достатъчно информация, в това число информация, получена от потребителя и ако е необходимо, извършва справка в Централния кредитен регистър или в друга база данни, използвана в Република България за оценка на кредитоспособността на потребителите. Такава друга база данни, която може да бъде използвана за оценка на кредитоспособността на потребителите по смисъла на чл.16, ал.1 от ЗПК и чл.13, ал.1 от ЗКНИП, е и НБД „Население“.
Важно е да се подчертае, че НБД „Население“ съдържа голям обем от лични данни относно гражданската регистрация на физическите лица, които в пълен обем обаче са неотносими към целите, за които е необходимо обработване на лични данни в кредитния процес. Обоснована необходимост от достъп може да има само по отношение следните категории лични данни, съдържащи се в НБД „Население“: име по смисъла на чл.9, ал.1 от ЗГР, ЕГН, постоянен и настоящ адрес, семейно положение, брой деца, ненавършили пълнолетие, дата на смърт. В противен случай, предоставянето на повече информация би било нарушение на принципите на целесъобразност и пропорционалност по смисъла на чл.2, ал.2 от ЗЗЛД.
Предоставянето на лични данни на физически лица, съдържащи се в НБД „Население” представлява „обработване на лични данни”, което се извършва чрез предоставяне на данните, съгласно легалната дефиниция, посочена в параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД.
По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл.4 от ЗЗЛД, според който обработването на лични данни е законосъобразно, когато е налице поне едно от изчерпателно изброените и дадени алтернативно условия за допустимост на обработването. В случая по принцип са приложими две от условията за допустимо обработване на лични данни, а именно: това по чл.4, ал.1, т.2– физическото лице, за което се отнасят данните, да е дало изрично своето съгласие и това по т.3– обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както за действия, предхождащи сключването на договор и предприети по негово искане.
С оглед на обстоятелството, че в конкретния случай намира приложение хипотезата по чл.106, ал.1, т.3, предложение трето– административно производство пред КЗЛД за постановяване на разрешение, Комисията следи за наличието на условията за допустимост на обработването, посочени по-горе.
Предвид целите, за които се обработват данните, въпреки че разписаните в чл.4, ал.1 от ЗЗЛД хипотези са алтернативни, в случая може да се приеме, че приоритетно приложение следва да намери изискването за наличие на съгласие, предоставено от физическото лице, за което се отнасят данните. Съгласието на физическо лице за обработване на личните му данни следва да отговаря на специфичните изисквания на §1, т.13 от Допълнителните разпоредби на ЗЗЛД, а именно: да е свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. За да се приеме за съгласие, волеизявлението на физическото лице трябва да е:
– свободно изразено– предоставено от физическото лице, по негово собствено желание, без елемент на принуда;
– недвусмислено– съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице заобработване на данните му;
– конкретно– съгласието следва да бъде предоставено за обработване на лични данни отконкретно лице за конкретни цели;
– информирано– лицето, предоставящо данните, следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на информацията и последиците от отказ за предоставянето й; информация за правото на достъп и правото на коригиране на събраните данни и др.;
– предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.
Въпреки че законодателят не въвежда изискване за писмена форма на съгласието, с оглед целите, за които се налага достъпването на данни в НБД „Население“ и с цел доказване наличие на предварително получено съгласие, е целесъобразно банковата или небанкова финансова институция да въведе писмена форма на съгласието (напр. бланка декларация-съгласие) с указаните по-горе реквизити.
3. По отношение на починали лица и лични данни на техните наследници:
КЗЛД поддържа следната принципна позиция, приложима по отношение както на експлоатационните дружества, така и на банковите и небанкови финансови институции:
Предоставянето на официална информация относно настъпила смърт на клиента/кредитополучателя би могло да се извърши на основание чл.4, ал.1, т.7 от ЗЗЛД. Същото не важи за предоставяне на лични данни на наследниците на лицето. Отношенията между дружеството-искател от една страна, и наследниците на длъжниците са гражданскоправни. Трябва да се има предвид, че дори дадени лица да са наследници по закон на едно лице, това не означава, че те автоматично придобиват качеството длъжници на кредиторите на своя наследодател. При установяване на кръга от лицата, които имат право да наследят едно починало лице, следва да се имат предвид също така и хипотезите на отказ от наследство или приемане на наследство по опис, както и евентуалното наличие не само наследниците по закон, но и на наследници по завещание. Необходимо е да се отчита и обстоятелството, че наследници от първи ред, приели наследството, изключват наследници от втори и следващ ред.
В удостоверението за наследници фигурират личните данни на всички наследници по закон, като не става ясно как и въз основа на какви съображения дружеството-искател ще прецени на кои точно наследници да изпрати покана за доброволно изпълнение или да насочи исковата си претенция. В този случай е възможно да се осъществи незаконосъобразно обработване чрез предоставяне на лични данни на наследници, които не са приели наследството или които са изключени от процеса по приемане на наследство порадиналичие на наследници от по-горен ред.
Твърдението, че наследниците на дадено лице– клиент/кредитополучател, са длъжници на дружеството е факт, който следва да бъде доказан. Такова доказване би могло да се осъществи по съответния съдебен ред. При необходимост, сезираният съд има правомощие да изиска необходимата му информация или да издаде съдебно удостоверение, въз основа на което страната да получи необходимата му информация.
Гражданскопроцесуалният кодекс (ГПК) предвижда възможността за издаване на съдебно удостоверение в гражданския процес. Основният принцип в ГПК е, че официални документи и удостоверения се представят от страните (чл. 186, изречение първо от ГПК). Допустимо е и самият съд, пред който делото е висящо, да ги изиска от съответното учреждение (чл. 186, изречение второ, предложение първо от ГПК), в случая– длъжностното лице по гражданското състояние. Ако сам не изиска съответните документи от компетентните органи, съдът може да снабди страната със съдебно удостоверение, въз основа на което тя да се снабди със съответните официални документи и удостоверения (чл. 186, изречение второ, предложение второ от ГПК).
В своята практика чрез изразяване на становища КЗЛД нееднократно е застъпвала тезата, че данни за наследници на починали лица, с цел събиране на вземания, могат да се предоставят при наличие на акт на съдебната власт (становища с рег.№П-8005/2014г.; рег.№П-2410/2012г.; рег.№П-7287/2014г.; рег.№П-2392/2011г.; рег.№П-2458/2016г. и др.).
Подобно разбиране относно начините за установяване на наследниците на починал наследодател е възприето и в съдебната практика (Решение №4859 от 08.07.2015г. по адм. дело №4858/2015г. на АССГ– София– град; Решение №5206 от 21.07.2015г. по адм. дело №4862/2015г. на АССГ– София– град; Решение №5175 от 20.07.2015г. по адм. дело №4234/2015г. на АССГ– София– град и др.).
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Съгласно чл.106, ал.1, т.3, предл.1 и 2 от Закона за гражданската регистрация, предоставянето на лични данни от ЕСГРАОН на юридически лица се осъществява въз основа на нормативно основание или акт на съдебната власт. В тези случаи преценката за законосъобразност се осъществява от администратора на лични данни, а именно Министерство на регионалното развитие и благоустройството– ГД „ГРАО” или кмета на съответната община.
По чл.106, ал.1, т.3 от ЗГР, предл. 3, исканията се отправят пред Комисия за защита на личните данни, която от своя страна извършва преценка на всички относими доказателства и при основателност на съответната искане, издава разрешение за достъп до ЕСГРАОН.
| ЧЛЕНОВЕ: | |
|
Цанко Цолов /п/ |
|
