Становище на КЗЛД по въпроси, касаещи приложението на чл.25 от Закона за защита на личните данни във връзка с договорите за предоставяне на информация от Националния осигурителен институт

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Красимир Димитров, Валентин Енев и Веселин Целков на заседание, проведено на 23.01.2013г., разгледа преписка с №П-6838/18.12.2012год.от г-н Б.П. в качеството му на Управител на Националния осигурителен институт (НОИ), с което информира, че в НОИ постъпват запитвания относно законосъобразното прилагане на чл.25 от Закона за защита на личните данни (ЗЗЛД). Запитванията са по повод сключвани от страна на НОИ договори за предоставяне на информация на финансови институции, във връзка с извършваните от въпросните институции финансови услуги (кредитиране, лизинг и др.).

В искането на Управителя на НОИ се подчертава, че договорите са сключени по повод ползването на информационни продукти и са основани на равноправно партньорство, като имат за цел да гарантират обществения интерес от правилното и законосъобразното протичане на процеса на кредитиране в Република България.

Тази дейност на НОИ намира своето специфично правно регламентиране в чл.33, ал.3, т.11 от Кодекса за социално осигуряване (КСО), като едновременно с това се осъществява при стриктно спазване на ЗЗЛД. В договорите се съдържат специални клаузи, които задължават получаващия личните данни администратор да изисква съгласието на проверяваното лице преди да получи данните. В искането е посочено, че даването на съгласие е категорично основание за предоставяне на данни според текста на чл.4 от ЗЗЛД.

Управителят на НОИ информира, че от страна на института се извършват периодични проверки, чиято цел е да удостовери и гарантира спазването на договорните задължения от стана на съконтрагентите. Правото на проверка е разписано и в самите договори.

Във връзка с посоченото, съконтрагентите на НОИ, стремейки се да спазват договорните си задължения и да осигурят при реализиране от страна на НОИ на проверка наличие на въпросното съгласие, отправят запитване относно приложението на чл.25 от ЗЗЛД и по-конкретно задължението обработваните данни да бъдат унищожени след постигане целите на обработване. Конкретната проблематика е свързана най-вече със случаите, при които е налице отказ на кандидатстващото лице да бъде предоставена търсената от него финансова услуга и съответно разликата във времето от постановяване на отказа до евентуалната проверка на преписката от НОИ.

Във връзка с изложеното, Управителят на НОИ се обръща към Комисията за защита на личните данни (КЗЛД) за становище относно правилното приложение на чл.25 от ЗЗЛД в контекста на описаните по-горе хипотези, като същевременно под внимание се вземе и интересът на НОИ като администратор, който предоставя данните и държи да има възможност да се увери в спазването на договорните текстове, които гарантират законосъобразното обработване на предоставяните данни от третите лица.

Към искането на Управителят на НОИ е приложено писмо вх.№26-1587-4/06.11.2012год. от „Е.Б.” ЕАД.

При прегледа на представеното като приложение писмо се установява, че „Е.Б.” ЕАД, като един от най-големите потребители на услугите на НОИ, ползващи услугите за информация от базата данни на института, желае да се информира относно законосъобразното обработване на лични данни на физическите лица-кредитоискатели. Посочено е, че съгласно договора, сключен между НОИ и „Е.Б.” ЕАД през 2006 година, ползването на информация от базата данни на НОИ следва да се извършва за точно определени цели със законосъобразни средства, а именно приложение на изрично писмено съгласие от физическите лица, клиенти на кредитни услуги, предоставяни от банкови и небанкови финансови институции. Поставя се конкретният въпрос: Какъв е размерът на срока, който следва да се прилага за съхранение на личните данни на лицата, в случая писменото съгласие, съдържащо съответно лични данни, след като са изпълнени целите, за които те се обработват, например е отказана кредитната услуга от страна на клиента или договорът е прекратен. В писмото са цитирани разпоредбите на чл.25 от ЗЗЛД, като изрично е уточнено, че в качеството на регистриран администратор на лични данни, „Е.Б.” ЕАД не попада в хипотезата на чл.25, ал.2 от ЗЗЛД, а именно: „След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи”.

Правен анализ на изложения казус:

Съгласно чл.33, ал.3, т.11 от КСО, Националният осигурителен институт е оправомощен да сключва договори за предоставяне на информация, информационни продукти за обработване на информация и за дейности по социалното осигуряване. Следователно договорите между НОИ и съответните банкови и небанкови финансови институции, предоставящи кредитни услуги, се сключват на нормативно основание, посочено в цитирания текст от КСО. Нормативният текст не съдържа изрична уредба относно съдържанието на договорите, следователно на страните е предоставена известна свобода на договарянето, която обаче не е безусловна.

Относно защитата на личните данни на лицата, за които ще се получава информация от базата данни на НОИ, при сключване на договорите страните следва да се съобразят с основните задължения на администраторите на лични данни, съгласно ЗЗЛД. Това е така, предвид факта, че както НОИ, така и съконтрагентите му по отделните договори, на свое собствено основание се явяват администратори на лични данни, поради обстоятелството, че във връзка със специфичния си предмет на дейност обработват лични данни на физически лица.

Едно от основните задължения на администраторите на лични данни, това е задължението да обработват данните законосъобразно и добросъвестно, да ги събират за конкретни, точно определени и законни цели и да не ги обработват допълнително по начин, несъвместим с тези цели. По смисъла на §1, т.1 от Допълнителните разпоредби на ЗЗЛД, “Обработване на лични данни” е “всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”.

В случаите, в които обработването на лични данни не е предвидено като нормативно задължение за администратора, законосъобразна предпоставка за обработването е предоставяне на "свободно и недвусмислено" изразено съгласие на лицето, чийто данни се обработват (чл. 20, ал.1 във връзка с чл.19 ЗЗЛД). Съгласието на лицата техни лични данни да бъдат обработвани от даден администратор е един от най-важните аспекти на защитата на личните данни и гаранция за правомерно обработване на данните. Следователно, администраторът трябва да разполага с валидни доказателства за получено съгласие във всеки един момент, докато са налице целите, за които данните се обработват.

Както беше посочено по-горе, едно от основаните задължения на администраторите е да държат сметка за законосъобразното обработване на личните данни. В конкретния случай, в договорите между НОИ и финансовите институции, предоставящи кредитни услуги, следва да бъдат уредени въпросите относно допустимостта на обработване на личните данни и по-конкретно клаузи, които задължават получаващият лични данни администратор да изисква предварителното съгласие на проверяваното лице, преди да получи данните. В искането на Управителя на НОИ е посочено, че в сключените договори се предвиждат специални клаузи относно декларирането на предварително съгласие от страна проверяваните лица, за което НОИ следи чрез извършване на периодични проверки. Съществен се явява въпросът как да се процедира в случаите, в които целта на обработване на личните данни е постигната и по-конкретно хипотезите, при които е налице отказ на кандидатстващото лице да бъде предоставена търсената от него финансова услуга със съответната разлика във времето от постановяване на отказа до евентуалната проверка на преписката от НОИ. Аналогичен е и казусът, засегнат в писмото на „Е.Б.” ЕАД, като допълнително се акцентира върху разпоредбата на чл.25, ал.2 от ЗЗЛД, а именно, че не е предвидено в нормативна разпоредба въпросните лични да бъдат съхранявани допълнително след постигане целта на обработване.

Въпреки, че относно изложения казус съществува нормативна празнота, касаеща срока за съхранение на личните данни след постигане на целта, за която същите се обработват, допустимо е този въпрос да бъде уреден в договорите между НОИ и финансовите институции, предоставящи кредитни услуги. Страните могат да се договорят, че обработваните лични данни във връзка с деклариране на предварително съгласие на лицата-кредитополучатели относно проверка в базата данни на НОИ, ще бъдат унищожени след постигане целта на обработването и по-конкретно това се отнася за лицата, на които е отказана кредитна услуга или е прекратен договорът за кредит. Едновременно с това, в договорите следва да бъде посочено, че личните данни ще бъдат унищожавани, след уведомяване на НОИ в разумен срок, договорен между страните, като финансовите институции, предоставящи кредитни услуги, следва във всеки един момент да разполагат с валидни доказателства относно извършеното унищожаване на данните – например протокол за унищожаване на декларациите за предоставено съгласие или друг писмен документ с отбелязване, че личните данни, за които е постигната целта на обработване, са унищожени.

Също така следва да се отбележи и задължението на финансовите институции, предоставящи кредитни услуги, след унищожаване на данните, да информират съответните физически лица, че целите, за които данните им са събрани, са постигнати, във връзка с което на основание чл.25, ал.1, т.1 от ЗЗЛД данните са унищожени.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

Банковите и небанковите финансови институции, предоставящи кредитни услуги, действащи в качеството на администратори на лични данни, следва да съобразят дейността си относно обработването на лични данни с изискванията на чл.25 от ЗЗЛД, а именно след постигане на целта на обработване на данните, същите да бъдат унищожени.

С оглед гарантиране правомощието на НОИ за осъществяване на контрол относно спазване на задължението за получаване на предварително съгласие от проверяваните лица преди предоставяне на информация от базата данни на НОИ, в договорите между финансовите институции, предоставящи кредитни услуги и НОИ следва да бъде предвидено, че личните данни ще бъдат унищожавани, след уведомяване на НОИ в разумен срок, договорен между страните. Финансовите институции следва във всеки един момент да разполагат с валидни доказателства относно извършеното унищожаване на данните – например протокол за унищожаване на декларациите за предоставено съгласие или друг писмен документ с отбелязване, че личните данни, за които е постигната целта на обработване, са унищожени.

Задължително е финансовите институции, предоставящи кредитни услуги, след унищожаване на данните, да информират съответните физически лица, че целите, за които данните им са събрани, са постигнати, във връзка, с което на основание чл.25, ал.1, т.1 от ЗЗЛД данните са унищожени.