СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-3387/2015
р. София, 15.05.2015 г.
ОТНОСНО: Искане с вх.№П- 3387/27.04.2015год. от М.Ф. в качеството на Изпълнителен директор на „У.К.К.Ф.“ ЕАД по въпроси, касаещи достъпа до Национална база данни „Население”, поддържана от Главна дирекция „Гражданска регистрация и административно обслужване”
Комисията за защита на личните данни (КЗЛД) в състав: Цанко Цолов, Цветелин Софрониев иМария Матева, на заседание, проведено на 13.05.2015год., разгледа искане с вх.3387/27.04.2015год. от М.Ф. в качеството на Изпълнителен директор на „У.К.К.Ф.“ ЕАД. Изпълнителният директор на дружеството отбелязва, че искането до Комисията за защита на личните данни се основава на желанието да бъде проучена възможността за съдействие от страна на КЗЛД относно получаване на автоматичен достъп до данни от ЕСГРАОН. Отбелязва се, че на основание чл.106, ал.1, т.3 от Закона за гражданската регистрация (ЗГР), Комисията за защита на личните данни е компетентният орган, който може да разреши достъпа до данни отЕСГРАОН.
За целите на управлението на риска, „У.К.К.Ф.“ ЕАД се опитва да удостоверява предоставената от клиентите/кредитоискатели информация с външни бази данни. Автоматичният достъп до базата данни на ЕСГРАОН ще даде на дружеството възможност допълнително да оптимизира процесите по кредитиране, чрез гарантиране на качествена проверка на наличната информация с цел намаляване на възможността за злоупотреби и измами от страна на недобросъвестни клиенти.
Правен анализ:
Съгласно нормите на Закона за гражданската регистрация (ЗГР), единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях. На всички лица, подлежащи на гражданска регистрация, се съставя личен регистрационен картон и запис в НБД „Население”. Регистърът на населението на Република България се състои от всички общински регистри и компютърният му еквивалент е НБД „Население”. Поддържането на единната система за гражданска регистрация се осъществява от общинските администрации и от Министерството на регионалното развитие и благоустройството чрез Главна дирекция „Гражданска регистрация и административно обслужване“ (ГРАО) и териториалните й звена(чл.2 от Наредба№РД-02-20-9 от 21май 2012г. зафункционираненаединнатасистема за гражданска регистрация).
Методическото ръководство и контролът на дейностите, свързани с гражданската регистрация, се осъществяват от Министерството на регионалното развитие и благоустройството със съдействието на Министерството на правосъдието и Комисията за защита на личните данни (чл.113, ал.2 от ЗГР).
Предоставянето от един администратор (МРРБ, ГД „ГРАО“) на друг администратор (в случая „У.К.К.Ф.“ ЕАД) на лични данни на физически лица, съдържащи се в НБД „Население“, поддържана от ГД „ГРАО“, представлява “Обработване на личните данни”, което се извършва чрез предоставяне на данните, съгласно легалната дефиниция, посочена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД). Това е “…всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като … разкриване чрез предаване………….предоставяне”.
В изложения казус следва да намерят приложение разпоредбите на чл.4, ал.1 от ЗЗЛД, тъй като в съответствие с посоченото по-горе определение за “Обработване на лични данни”, предоставянето на данни от гражданската регистрация представлява обработване чрез предоставяне на данните. Текстът на чл.4, ал.1 от ЗЗЛД урежда алтернативни основания, при наличието, на които се допуска обработването на лични данни.
Искането от „У.К.К.Ф.“ ЕАД за предоставяне на достъп до ЕСГРАОН е аргументирано с оглед необходимостта от управление на риска. Този процес включва и преценка на кредитоспособността и идентификация на съответните кредитоискатели. Тези действия се основават и на нормативна регламентация в съответствие с разпоредбите на чл.16, ал.1 от Закона за потребителския кредит (ЗПК). Следователно в случая следва да се анализира наличието на нормативно установено задължение на администратора на лични данни („У.К.К.Ф.“ ЕАД), съгласно разпоредбата на чл.4, ал.1, т.1 от ЗЗЛД във връзка с чл.16, ал.1 от ЗПК.
Съгласно разпоредбата н чл.16, ал.1 от ЗПК, „преди сключване на договор за кредит, кредиторът оценява кредитоспособността на потребителя въз основа на достатъчно информация, в т.ч. информация, получена от потребителя, и ако е необходимо, извършва справка в Централния кредитен регистър или в друга база данни, използвана в Република България за оценка на кредитоспособността на потребителите“. Видно от цитирания законов текст, на кредитора е предоставена широка възможност за преценка на кредитоспособността на потребителите. Един от способите за получаване на информация, това са справките от Централния кредитен регистър или други бази данни в Република България. Редът за ползване на информация е регламентиран в съответните подзаконови нормативни актове, като например Наредба №22 от 16 юли 2009год. за Централния кредитен регистър, издадена от Българската народна банка на основание чл.56, ал.4 и §13 от Преходните и заключителни разпоредби на Закона за кредитните институции.
Ако за „друга база данни” по смисъла на чл.16, ал.1 от ЗПК може да се приеме компютърният еквивалент на Регистърът на населението на Република България – НБД „Население”, то редът за предоставяне на данни от регистрите също е определен в Наредба №РД-02-20-9/21.05.2012год. за функциониране на единната система за гражданска регистрация. В случая данните от Регистъра на населението на Република България се предоставят само при наличие на нормативно основание, предвидено в съответния специален закон.Законът за гражданската регистрация е специалният закон, който установява нормативните предпоставки, при наличието на които администраторът (МРРБ, ГД „ГРАО”) може да предостави данни по гражданската регистрация на трети лица.
Тук обаче следва да се направи разграничение между предоставянето на информация (данни) от НБД „Население” при доказан законен интерес и предоставянето на директен достъп до НБД „Население”.
В ограничен брой от нормативни актове, като например Закона за нотариусите и нотариалната дейност (ЗННД) и Закона за съдебната власт (ЗСВ), изрично е регламентирано предоставянето на директен достъп до тази база данни. В чл.19, ал.2 от ЗННД е разписано, че нотариусите имат право на достъп до НБД „Население” при условия и по ред, определени с акт на Министерския съвет. Във връзка с взаимоотношенията при осъществяването на този достъп, действа Наредба за достъпа на нотариусите до националната база данни „Население”, поддържана от Министерството на регионалното развитие и благоустройството. В чл.385, ал.1 от Закона за съдебната власт е посочено, че информационното обслужване на дейностите в съдебната власт се извършва от Висшия съдебен съвет със съдействието на Министерството на финансите и Министерството на регионалното развитие и благоустройството- чрез осигуряване на достъп на органите на съдебната власт до НБД „Население“. Редът и начинът за осигуряване на съдействие от Министерството на регионалното развитие и благоустройството чрез предоставяне на достъп до НБД „Население“ се определят с наредба на министъра на правосъдието и министъра на регионалното развитие и благоустройството (чл. 385, ал.2 от ЗСВ). Това е Наредба №14 от 18 ноември 2009год. за реда и начина на предоставяне на достъп на органите на съдебната власт до НБД „Население“.
В останалите частни случаи, извън посочените по-горе примери за нормативна регулация на директния достъп до НБД„Население“, обработването на лични данни, чрез предоставянето им от страна на администратора на лични данни (МРРБ- ГД „ГРАО“) следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните.
Искането от страна на „У.К.К.Ф.“ ЕАД за предоставяне на информация от ЕСГРАОН следва да се извършва след доказване наличието на условията за допустимост при обработването на лични данни (чл. 4, ал.1 от ЗЗЛД) и е в тежест за доказване от страна на администратора, искащ личните данни. Във всеки конкретен случай обемът на предоставените данни винаги следва да е съобразен с целта, за която същите се искат, т.е. с принципа на целесъобразност. Предоставянето на информация следва също така да е законосъобразно, а самата информация пропорционална. Няма правна пречка при поискване от страна на „У.К.К.Ф.“ ЕАД и при доказване на основание за предоставяне по законоустановения за това ред МРРБ- ГД "ГРАО" да предостави информация, т.е. лични данни (а не директен достъп) с цел упражняване на законен интерес на дружеството. Във всички случаи информация, съставляваща лични данни и касаеща физически лица-кредитополучатели, може да се предостави само при наличие на поне едно от изрично посочените в чл.4 от ЗЗЛД основания за допустимост на обработването на лични данни. Наличието на условие за допустимост за обработване на лични данни е в тежест на доказване от страна на администратора, искащ личните данни, в конкретната хипотеза- „У.К.К.Ф.“ ЕАД. Във всеки конкретен случай обемът на предоставените данни винаги следва да е съобразен с целта, за която същите се искат.
Нормативните предпоставки за предоставяне на данни от НБД „Население” са възпроизведени в текста на чл.106, ал.1, т.1 от ЗГР, където е посочено, че данните по гражданската регистрация се предоставят на трети лица, при условие че тези данни са от значение за възникване, съществуване, изменение или прекратяване на техни законни права и интереси. Преценката на администратора (МРРБ-ГД „ГРАО”) за възникването, съществуването, изменението или прекратяването на законни права и интереси на трети лица, при наличието на които може да предостави данни по гражданската регистрация, се извършва въз основа на съответни документи като например договори с конкретните лица, в които фигурира също и съгласие на физическото лице администраторът „У.К.К.Ф.“ ЕАД да изисква и получава лични данни от информационните масиви на други администратори на лични данни. Текстът на ЗГР предполага администраторът (МРРБ-ГД „ГРАО”) да прецени нормативния текст, съгласно който обработваните лични данни следва да бъдат предоставени. В този случай основанието се съдържа в разпоредбите на чл.4, ал.1, т.2 и т.3 от ЗЗЛД. Според чл.4, ал.1, т.2 от ЗЗЛД обработването на лични данни (в случая предоставянето на данни от гражданската регистрация) се допуска, ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие. Също така „У.К.К.Ф.“ ЕАД може да се позове и на разпоредбатана чл.4, ал.1, т.3 от ЗЗЛД, съгласно която обработването се допуска, ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, защото видно от изложеното в искането на Изпълнителния директор на „У.К.К.Ф.“ ЕАД, ползването на информация от НБД „Население“ се налага във връзка с кредитиране на физически лица, с които дружеството влиза в договорни взаимоотношения.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
„У.К.К.Ф.“ ЕАД може да получава от Министерството на регионалното развитие и благоустройството- ГД „ГРАО“ данни под формата на конкретна информация, а не директен достъпдо Национална база данни „Население”, по постъпили искания от „У.К.К.Ф.“ ЕАД с цел упражняване на законни права и интереси, само след доказване на наличието им по законоустановения за това ред и при спазване разпоредбите на чл.4, ал.1 от Закона за защита на личните данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
