Становище на КЗЛД по въпроси, свързани с обработване на лични данни на лица, поставени под пълно или ограничено запрещение във връзка с приложението на чл. 10в, ал. 1 във вр. с чл. 10в, ал. 2, т. 2 от Закона за хазарта

ОТНОСНО: Въпроси, свързани с обработване на лични данни на лица, поставени под пълно или ограничено запрещение във връзка с приложението на чл. 10в, ал. 1 във вр. с чл. 10в, ал. 2, т. 2 от Закона за хазарта (ЗХ)

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено по реда на чл. 12 от Правилника за дейността на КЗЛД и на нейната администрация, разгледа писмо с рег. № ПНМД-01-4#3/07.09.2023 г. от изпълнителния директор на Националната агенция за приходите (НАП) с искане за изразяване на становище. От НАП предоставят анализ на планираното обработване на лични данни, мотиви към искането си и предложение за възможно решение по казуса.

В писмото на НАП се разяснява, че в чл. 2, ал. 3 от Закона за хазарта (ЗХ) е посочено кои лица могат да участват в хазартни игри, а именно – само пълнолетни дееспособни физически лица, за които няма ограничения в този или в други закони, а недееспособните могат да получават билети или талони за участие в традиционна лотария, тото игри и томболи само по дарение.Отделно от това са предвидени мерки за защита, които целят забрана или недопускане до участие в хазартни игри на уязвими лица, за да се намалят или избегнат потенциални негативни икономически, социални и личностни последици за тях и техните близки. В чл. 10в, ал. 2 от ЗХ законодателят изрично е очертал кръга от уязвими лица, спрямо които евентуалното им участие в хазартни игри би могло да породи потенциални икономически, социални и личностни последици, както за тях, така и за техните близки. Уязвими лица по смисъла на посочената норма са:

1. малолетните и непълнолетните;

3. всяко лице, което смята, че има проблем с хазарта;

4. лицата, чието социално положение и/или равнище на доходи може да ги направи по-податливи към участие в хазартни игри и развиване на хазартна зависимост.

С оглед защита на посочените категории лица и техните близки (вкл. законни представители – родители или настойници, др.) следва да се прилага императивната норма на чл. 10в, ал. 1 – спрямо уязвимите лица се прилагат мерки за защита, които имат за цел забрана или недопускане до участие в хазартни игри. Към момента, като единствена мярка за защита е предвиден уреденият в чл. 10г, ал. 1 от закона регистър. Законодателят е предвидил възможност посредством същия, лицата по чл. 10в, ал. 2, т. 3 и т. 4 „да поискат да не бъдат допускани до участие в хазартни игри (…) и до участие в хазартни игри, организирани онлайн” – това са следните категории уязвими лица: лицата, които смятат че имат проблем с хазарта (чл. 10в, ал. 2, т. 3 от Закона) и лицата, чието социално положение и/или равнище на доходи може да ги направи по-податливи към участие в хазартни игри и развиване на хазартна зависимост (чл. 10в, ал. 2, т. 3 от ЗХ).

По отношение на лицата по чл. 10в, ал. 2, т. 1 от закона (малолетните и непълнолетните), забраната за недопускане до участие в хазартни игри се реализира чрез изпълнение на законовото задължение за организаторите на хазартни игри (ОХИ) за извършване на проверка на документ за самоличност на лицето, заявило желание за участие в хазартни игри. За уязвимата категория лица по т. 2, обаче, този ред е неприложим – чрез проверката на документа за самоличност не е възможно да се удостовери дали едно лице е поставено под пълно или ограничено запрещение, респ. съществува вероятност същото да бъде допуснато до участие в хазартни игри. Поражда се и фактическа невъзможност за органите на НАП да осъществяват възложените им със закон правомощия, свързани с извършваните проверки на ОХИ относно спазване на ограниченията, предвидени в чл. 10в, ал. 1 от ЗХ. Към настоящия момент органите по приходите извършват проверка на място и чрез създадена нарочна справка в ИС на НАП, която се достъпва от определен със заповед на изпълнителния директор на НАП ограничен кръг служители, посредством която удостоверяват дали по отношение на конкретно лице, допуснато до участие в хазартна игра, съответният ОХИ предварително е извършил справка относно обстоятелството дали е вписано или не в Регистъра по чл. 10г, ал. 1 от ЗХ или спрямо лицето е реализирана забраната за участие в хазартни игри поради пълна или частична запретеност – нещо, което към момента не може да се изпълни като законово задължение и официално правомощие поради липса на достъп до данните в регистъра на запретените лица.

Данните за лицата, поставени под пълно или ограничено запрещение, се обработват в регистъра на населението – Национална база данни „Население” (НБД „Население”). По смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните (ОРЗД), администратор на данните, които се съдържат в НБД „Население”, е Министерство на регионалното развитие и благоустройството (МРРБ). Във връзка със спазването на законовото задължение за реализиране на забраната лицата, поставени под пълно или частично запрещение да участват в хазартни игри и осъществяване на вменените със закон официални правомощия на НАП, в края на месец юни 2023 г. между НАП и МРРБ беше осъществена писмена кореспонденция, като на 25.07.2023 г. се проведе работна среща между представители на двете институции. Обсъдени бяха въпроси, свързани с правното основание за обработване на посочената категория данни от страна на НАП, спазване на прогласените в чл. 5 от ОРЗД принципи, свързани с обработването на данните и др.

Доказателствената тежест за наличие на поне едно от основанията за допустимост на обработването на лични данни е на субекта, искащ съответния обем и категории данни – в конкретния случай това е НАП, като преценката по отношение на неговото наличие е на администратора, предоставящ данните – в случая това е МРРБ.

В тази връзка, между двете институции възникнаха принципни различия в изразените концептуални становища относно законосъобразността НАП да получи и обработва данните за целите на изпълнение на законовото задължение, като основните противоречия са в следните насоки:

Според изложената от МРРБ позиция, редът за предоставяне на данни от НБД „Население” е регламентиран в Наредба № РД-02-20-9 от 21 май 2012 г. за функциониране на единната система за гражданска регистрация, като данните се предоставят при спазване разпоредбите на Закона за гражданската регистрация (ЗГР), Закона за защита на личните данни, Регламент (ЕС) 2016/679 и на други специални закони, като в заявлението задължително се посочват законовите основания за предоставяне на данните. Според МРРБ, в отправеното първоначално искане на НАП не са посочени основания съгласно ЗГР, Регламент (ЕС) 2016/679 или други специални закони.

Считат, че в разглежданата ситуация следва да се прилага и забраната на чл. 9, параграф 1 от Регламент (ЕС) 2016/679, който забранява обработването на лични данни за здравословното състояние на физическото лице, освен ако е налице поне едно от условията посочени в параграф 2 от същата разпоредба. Съгласно легалното определение в чл. 4, т. 15 от Регламент (ЕС) 2016/679, „данни за здравословното състояние” означава лични данни, свързани с физическото или психическото здраве на физическо лице. Поставянето под запрещение представлява правна последица от наличието на определени медицински предпоставки – слабоумие или душевна болест, които водят до невъзможност за лицето да се грижи за своите работи. Т.е. без съмнение данните относно поставянето под запрещение водят и до извод за здравословното състояние на конкретното лице.

Съгласно съображение 40 и 45, както и чл. 6, б. „а”, „в” и „д” от Регламент (ЕС) 2016/679, за да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път в регламента или в друг правен акт на Съюза или на държава членка. Когато обработването се извършва в съответствие с правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има основание в правото на Съюза или в правото на държава членка.

МРРБ подчертава, че за вписване в „Регистъра на уязвимите лица” би следвало да е необходимо съгласието на попечителя – по отношение на поставените под ограничено запрещение, а за поставените под пълно запрещение – вписването следва да се извърши по искане на родител/настойник – чл. 5, ал. 3, чл. 3, ал. 2 и чл. 4, ал. 2 от Закона за лицата и семейството (ЗЛС), чл. 164, ал. 3 и чл. 168, ал. 2 от Семейния кодекс.

За обработването на лични данни от категорията на имена и идентификатор ЕГН на запретени лица и по-конкретно тяхното разкриване чрез предаване на НАП, е налице валидно правно основание, а именно – обработването е необходимо за спазването на законово задължение, което се прилага спрямо организаторите на хазартни игри (ОХИ) и НАП, като последната, в качеството ѝ на надзорен и контролен орган в областта на хазарта и хазартните дейности, не би била в състояние да осъществи вменените ѝ със закона правомощия без да има предоставен достъп до личните данни на посочената категория лица. В тази връзка, от НАП изразяват несъгласие с позицията на МРРБ, че за приобщаването на данните на запретените лица към данните на вписаните в Регистъра по чл. 10 г от ЗХ би следвало да е необходимо съгласието на попечителя – по отношение на поставените под ограничено запрещение, а за поставените под пълно запрещение – вписването следва да се извърши по искане на родител/настойник – чл. 5, ал. 3, чл. 3, ал. 2 и чл. 4, ал. 2 от ЗЛС, чл. 164, ал. 3 и чл. 168, ал. 2 от Семейния кодекс. В конкретния случай се касае за обработване на данните на друго валидно правно основание, като съгласието не е необходимо и то е невалидно, а изискването му би представлявало прекомерно обработване на данни. Запретените лица няма да се „вписват” в Регистъра по реда и начина, какъвто законодателят е регламентирал по отношение на другите две групи уязвими лица (съответно тези по чл. 10 в, ал. 2, т. 3 и т. 4 от ЗХ). Регистърът се явява единствената, предвидена от законодателя мярка, средство, способ за реализиране на забраната от участие в хазартни игри на запретените лица. За разлика от възможността за недопускане до участие в хазартни игри по отношение на лицата по чл. 10 в, ал. 2, т. 3 и т. 4 от посочената норма, при забраната отсъства елементът на доброволност, т.е. съгласието е неприложимо. Това е така, основно поради невъзможността малолетните/непълнолетните и лицата, поставени под пълно или ограничено запрещение да ръководят действията и постъпките си поради различни причини. Забраната следва да се реализира въпреки волята на попечителя или родителя/настойника на съответното запретено лице, като към момента, както беше подчертано по-горе, единствената мярка, чрез която законовото задължение може да бъде изпълнено и забраната реализирана, е изграденият Регистър на уязвимите лица.

За разлика от забраната, недопускането до участие в хазартни игри, включително организирани онлайн такива, се осъществява в предвидения в чл. 10г, ал. 3 ред. В чл. 10в, ал. 2, т. 3 и т. 4 и ал. 3 от ЗХ ясно личат няколко аспекта, на които следва да бъде обърнато внимание, а именно:

– посочените категории лица следва да са осъзнали, че имат проблем с хазарта – т.е. лицата, въз основа на своето психическо и физическо състояние са в състояние да идентифицират наличието на проблем, да преценяват рисковете от същия за себе си и своите близките, както и да са в състояние да вземат решение за минимизиране на рисковете;

 – налице е елемент на доброволност – вписването в регистъра се извършва въз основа на писмено искане по образец, подадено от лицето или негов представител до изпълнителния директор на Националната агенция за приходите (чл. 10г, ал. 3 от ЗХ);

– именно по отношение на двете категории уязвими лица в чл. 10в, ал. 2, т. 3 и т. 4 е предвидена правната възможност „да не бъдат допускани” до участие в хазартни игри – в конкретния случай недопускането по своята правна същност представлява ограничение на определени права и интереси, което предполага и времево ограничение – законодателят в тази връзка е предвидил възможност за посочване от лицата по чл. 10в, ал. 2, т. 3 и т. 4 на период за недопускане до участие в хазартни игри чрез доброволното вписване в Регистъра, който не може да бъде по-кратък от две години (чл. 10г, ал. 4 от ЗХ). С предвидената възможност за посочване на период от разглежданите две категории лица или прилагане на ограничението за минимален период от две години се цели лицата, именно поради тяхната осъзнатост, да могат да предприемат самостоятелно или с подкрепата на специализирани държавни институции допълнителни мерки за намаляване или елиминиране на евентуалната зависимост от хазартни игри.

От НАП посочват, че по аргумент от противното, по отношение на останалите две категории уязвими лица – малолетни/непълнолетни и лицата, поставени под пълно или ограничено запрещение (чл. 10в, ал. 2, т. 1 и т. 2 от ЗХ) е приложимо другото алтернативно законово ограничение, регламентирано в чл. 10в, ал. 1 от ЗХ – забраната. За разлика от възможността за недопускане до участие в хазартни игри по отношение на лицата по т. 3 и т. 4 от посочената норма, при забраната отсъства елементът на доброволност. Това е така, основно поради невъзможността малолетните/непълнолетните и лицата, поставени под пълно или ограничено запрещение да ръководят действията и постъпките си поради различни причини – липсата на достигнато психо-физическо съзряване на индивида поради ненавършена определена възраст (така например малолетните деца се считат за напълно недееспособни, а непълнолетните – децата на възраст между 14 и 18 години – за ограничено дееспособни), в резултат на слабоумие или душевна болест, др. В тази връзка от НАП изразяват позицията, че обработването на данни за запретените лица е законосъобразно и във връзка със законовото задължение, което се прилага спрямо ОХИ да се забрани на поставените под пълно или ограничено запрещение лица да участват под каквато и да е форма в хазартни игри, респективно произтичащите от това официални контролни правомощия на НАП да съблюдава спазването на посочената законова забрана. 

Що се касае до прилагането на забраната на чл. 9, пар. 1 от Регламент (ЕС) 2016/679, който забранява обработването на лични данни за здравословното състояние на физическите лица, освен ако е налице поне едно от условията посочени в параграф 2 от същата разпоредба, от НАП считат, че в конкретния случай е приложимо изключението, регламентирано в чл. 9, пар. 2, б. „ж” – обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните. Обработването на данни на запретените лица има за цел спрямо същите да бъде реализирана забрана за участие в хазартни игри, с цел да се „избегнат потенциални негативни икономически, социални и личностни последици” (чл. 10 в, ал. 1 от ЗХ) за запретените лица, в качеството им на „уязвими лица”, както ги е класифицирал законодателят, включително и техните близки. В конкретния случай общественият интерес се свежда до превенция на хазартната зависимост сред представители на уязвима група от населението, които поради слабоумие или душевна болест не могат да се грижат за своите работи напълно или частично. От НАП информират, че към момента липсва легална дефиниция на понятията „уязвимост” и „хазартна зависимост”. Съгласно публикувана информация на официалната интернет страница на Министерство на здравеопазването, посочените понятия са свързани с поведенческа зависимост, определени патологични разстройства, зад които нерядко се крият психологически причини, и които състояния допълнително биха породили сериозни негативи както за посочената категория лица, така и за техните близки. Освен с наличието на изключение, съгласно чл. 9, пар. 2 от Регламента, обработването на специални категории данни, в конкретния случай обработването от НАП на лични данни на запретени лица, би било допустимо и при наличието на други два елемента – това да е абсолютно необходимо (както споменахме, липсата на достъп до данните възпрепятства изпълнение на законово задължение и предпоставя невъзможност за осъществяване на вменените на Агенцията със закон официални контролни правомощия). Наред с това от НАП смятат, че съществуват достатъчно гаранции за правата и свободите на субектите. Допълнително, що се касае до позицията, че личните данни от категорията на имена и идентификатор ЕГН на запретените лица представляват „специални категории лични данни” по смисъла на чл. 9 от Регламент (ЕС) 2016/679 следва да се подчертае, че за да бъдат едни данни класифицирани като такива, то същите следва да „дават информация за здравословното му състояние”. Информацията за здравословното състояние представлява сведение за наличие на конкретен физически или психически проблем по отношение на конкретно физическо лице. От НАП считат, че е спорен въпросът доколко данните, извадени от Регистъра на НБД „Население”, в който се обработват съвместно с други документи и сведения за здравословното състояние на лицата (съответен акт на съда, др.), извадени от посочения контекст, в който се обработват за първоначалните цели, за които са били събрани, и без да се предоставя на Агенцията каквато и да е информация за наличието на слабоумие или душевна болест по отношение на всяко едно конкретно лице, вкл. степента на заболяването и т.н., биха представлявали специални категории данни по смисъла на чл. 9, пар. 1 от Регламента. Според НАП имената и идентификаторите ЕГН на лицата са „чувствителни лични данни” тогава, когато се обработват в специфичен контекст и наред с други данни, предоставящи конкретика за здравословното състояние на лицата. 

Във връзка с гореизложеното и по отношение на предвидените гаранции за разглежданата категория субекти, НАП желае да подчертае следното:

– приобщаването на три имена и ЕГН на запретените лица към данните на вписалите се по собствено желание субекти в Регистъра по чл. 10г от ЗХ представлява единствената към момента ефективна мярка за защита на запретените лица. В конкретния случай не става въпрос за „служебно вписване” на запретените лица в Регистъра на уязвимите лица по смисъла, който законодателят е вложил в нормата на чл. 10 в, ал. 3 и чл. 10 г, ал. 3 от ЗХ, а за приобщаване на данните за имена и идентификатор на лицата, поставени под пълно или ограничено запрещение в Регистъра по чл. 10г от ЗХ, наред с данните на вписалите се в същия лица (другите категории уязвими лица по чл. 10в, ал. 2, т. 3 и т. 4 от ЗХ). Касае се за използване на изградена техническа мярка, единствено чрез която към момента е възможно да бъде реализирана забраната запретените лица да участват в хазартни игри. В действителност, процесът не се припокрива с процедурата по вписване на запретените лица в Регистъра по смисъла на чл. 10в, ал. 3 от закона, каквато възможност е предвидена за лицата по чл. 10в, ал. 2, т. 3 и т. 4 от ЗХ, а с импортиране в Регистъра на данни единствено за имена и идентификатор на лицата, поставени под пълно или ограничено запрещение, с цел използване на вече изградената функционалност за предоставяне на възможност за проверки;

– следва да се има предвид, че евентуалното импортиране/приобщаване на тези данни няма да бъде съпътствано от поставяне на какъвто и да било маркер в Регистъра, респ. при справка от страна на ОХИ по отношение на лице, поставено под пълно или ограничено запрещение, което е заявило участие в конкретен момент в конкретна хазартна игра, ОХИ няма да разполага с каквато и да е информация за статуса на лицето, още повече дали данните са приобщени в Регистъра във връзка със забраната или лицето се е вписало в Регистъра самостоятелно или чрез упълномощено лице. По същия начин и оправомощените със заповед на изпълнителния директор на НАП ограничен кръг служители не биха били в състояние да изведат каквито и да било предположения относно вида на заболяването и степента на неговото развитие по отношение на получаваните от МРРБ данни от вида единствено на три имена и ЕГН. 

От МРРБ считат, че искането на НАП да ѝ бъдат предоставяни данни за лицата под пълно или ограничено запрещение, обработвани в НБД „Население” противоречи на изискванията на ОРЗД и на ЗГР. Като аргумент посочват, че съгласно чл. 5, пар. 1, б. „б” от ОРЗД личните данни се събират за конкретни, изрично указани и легитимни цели и не следва да се обработват по-нататък по начин, несъвместим с тези цели (принцип „ограничение на целите”). С оглед на разглеждания казус, това изискване означава, че предоставянето на лични данни следва да се осъществява единствено за целите на прилагането на мерки за защита, които имат за цел забрана или недопускане до участие в хазартни игри на уязвими лица, за да се намалят или избегнат потенциални негативни икономически, социални и личностни последици за уязвимите лица и техните близки вр. с чл. 10в от ЗХ. Посочват, че достъпваните и обработвани данни следва да са „подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват” (чл. 5, пар. 1, б. „в” от Регламент (ЕС) 2016/679). Подчертават, че евентуалното обработване от НАП на лични данни на запретените лица в Регистъра на уязвимите лица, независимо дали същите правят опит за участие в хазартна игра или не, би представлявало нарушение на принципа за пропорционалност.

Във връзка с поставения от МРРБ въпрос относно спазване на прогласените в чл. 5 от ОРЗД принципи и по-конкретно принципа за „ограничение на целите”, НАП изразява позиция, че извършеният от страна на Агенцията работен тест за съвместимост на целите (вж. Становище 03/2013 г. на Работна група по чл. 29 относно ограничение на целите) категорично показва, че първоначалната цел, за която са събрани и се обработват данните на запретените лица в НБД „Население” се припокрива изцяло с целта, за която същите биха били обработвани в Регистъра на уязвимите лица. Личните данни на запретените лица са събрани и се обработват от МРРБ в нарочно обособен за целта регистър във връзка с пълно или частично ограничаване на техни права, с цел недопускане тези лица, чрез извършването на определени действия или бездействия, с оглед наличието на определени медицински предпоставки – слабоумие или душевна болест, които водят до невъзможност за лицето да се грижи за своите работи, да породят негативни последици за тях и близките им. Аналогична е и целта, поради която данните биха се обработвали от НАП, която цел изрично е посочена в чл. 10 в, ал. 1 – избягване на потенциални негативни икономически, социални и личностни последици за запретените лица и техните близки, които биха могли да възникнат в резултат от евентуалното участие на първите в хазартни игри. В тази връзка от НАП изразяват несъгласие, че последващото обработване на данните от страна на НАП би било несъвместимо с първоначалните цели, за които данните са били изначално събрани от МРРБ.

Допълнително, що се касае до изразената позиция, че получаването от НАП на лични данни от категорията единствено на имена и идентификатор ЕГН на запретените лица би било в нарушение на принципа за „свеждане на данните до минимум”, тъй като, както неправилно е интерпретирано от МРРБ, „НАП възнамерява да впише в регистъра всички запретени лица, независимо дали правят опит да участват в хазартна игра”. На първо място, следва да се има предвид, че що се касае до позицията на МРРБ, че по отношение на разглежданата категория данни следва да се прилага забраната на чл. 9, параграф 1 от Регламент (ЕС) 2016/679, тъй като се касае за данни за здравословното състояние на посочената категория лица по смисъла на чл. 4, т. 15 от ОРЗД, от НАП изразяват следната позиция: забраната представлява тотална, повсеместна и неограничена във времето рестрикция от определени индивидуални права с цел защита на дадени общи/обществени интереси, надделяващи над личните такива. Хипотезата за извършване на отделни проверки по отношение на конкретно лице, заявило желание за участие в конкретна хазартна игра, в точно определен момент, относно наличието на данни дали същото фигурира в администрирания от МРРБ регистър НБД „Население”, като лице поставено под запрещение, е неприложима поради следните аргументи:

– Извършването на отделни проверки в две различни администрации и регистри би довело до забавяне във връщането на информацията към ОХИ и съответно използването ѝ;

– Разработването на еднакви услуги и справки в две различни администрации и тяхната поддръжка като работоспособност води до нецелесъобразност и увеличаване на административната тежест както за ОХИ от гледна точка на получаването на достъпите и ползването, така и за администрациите от техническа гледна точка и от гледна точка на поддръжка на услугите;

– Реализираният към момента сървис и електронна услуга в НАП са достъпни в режим 24/7, като НАП е осигурила и административен ресурс за поддръжката на тези услуги. В случай че такава услуга се разработи и в МРРБ, то следва също да се организира процесът по нейната поддръжка;

– Към момента запитванията от ОХИ, на които НАП отговаря ежедневно към регистъра са над 1 000 000 броя, като НАП осигурява автоматични отговори на тези запитвания в срок до 3 ms. В случай че се разработи и услуга към МРРБ за проверка и в техните регистри, то това би довело до забавяне на отговорите към ОХИ или в някои случаи, поради технически проблеми в една от организациите, услугата да спре изобщо да работи, което ще доведе до увеличаване на напрежението в отношенията между НАП и ОХИ и търсене на отговорност към администрациите за занесени щети.

От министерството изразяват определени опасения, че ЗХ предвижда „възможност за достъп до този регистър на трети лица” (включително служители на организаторите на хазартни игри) – чл. 10д, ал. 2 от закона.

С оглед постигане на баланс между спазване на законовото задължение, което се прилага спрямо НАП да уведомява организаторите на хазартни игри за лицата, вписаните в регистъра, съгласно чл. 10д, ал. 1 от ЗХ, от една страна, недопускане реализирането на имуществени или неимуществени вреди на лицата, както и с оглед изпълнение на нормативното изискване в чл. 10д, ал. 2 от ЗХ достъп до данните в регистъра да имат само определени от ОХИ техни служители от друга страна, НАП е реализирала възможност за извършване на справка от ОХИ относно наличието на вписано в регистъра лице под формата на електронна услуга, достъпна с КЕП в Портала за електронни услуги на НАП (U2S-интерфейс потребител-система) и/или приложен програмен интерфейс във вид на уеб-сървис(S2S-интерфейс система-система). Достъпът до услугата е ограничен до всички юридически лица с издаден активен лиценз за организиране на хазартни игри и упълномощените от тях служители. За целите на предоставяне на достъп до услугата се правят автоматизирани проверки дали ОХИ е със статус „регистриран”, има поне един запис със статус „активен” за лиценз по ЗХ и дали упълномощеното лице е с активно заявление за достъп до тази услуга. Проверката се изпълнява при всяко достъпване на услугата и в случай че ОХИ вече няма активен лиценз или не е със статус „регистриран” или няма активно заявление за достъп до електронните услуги на НАП, тогава достъпът до услугата не се разрешава. По отношение на уеб-сървисът, наред с някои от посочените по-горе изисквания за електронната услуга, се извършва и проверка дали използваният токън (софтуерен ключ) за достъп е активен, като е дефиниран процес по заявяване, и предоставяне на софтуерен токън, чрез електронна услуга в портала на НАП след изрично попълване и подписване на искане за издаване на софтуерен токън. Максималният срок на валидност на този токън е една година, като един месец преди изтичането му ОХИ може да поиска издаване на нов токън.

Важно е да се отбележи, че на ОХИ не е предоставен достъп до данните в Регистъра, а същите извършват единствено отделни справки по идентификатор на лице, заявило желание за участие в хазартна игра. При извършваната проверка на въведения идентификатор, в случай че същият е вписан в регистъра (пълно съвпадение на идентификатор), се визуализира съобщение, че лице с идентификатор 111111**** и имена Х. Y. Z (Х – инициал на собствено име, Y– инициал на презиме, Z – инициал на фамилия) към дата …… (системната дата) е вписано в Регистъра по чл. 10г от ЗХ. Визуализирането на данни за инициал на собствено, бащино и фамилно име на вписаното в регистъра лице ще предостави възможност на организаторите за самоконтрол относно достоверността на въведения идентификатор (че справката е коректно извършена по отношение на конкретно лице, заявило участие в хазартни игри), но същевременно минимизира риска за проверявания субект в случай на нарушение на сигурността на личните му данни. В случаите, в които за проверяваното лице посредством въведен негов идентификатор няма данни същото да е вписано в регистъра, пред оторизирания потребител на справката се визуализира единствено частично замаскиран идентификатор, но не и инициали на имената по документ за самоличност.

В Техническите изисквания детайлно са разгледани въпросите, свързани с опазването на информацията и осигуряване на мрежова и информационна сигурност.

4.1. Към настоящия момент изграденият от НАП Регистър се явява единствената предвидена от законодателя мярка за защита на уязвимите лица и техните близки, в т.ч. и единствена възможност забраната за участие в хазартни игри на категорията уязвими лица, посочени в чл. 10в, ал. 2, т. 2 от ЗХ, да бъде спазена, а именно – чрез приобщаване/импортиране на данните за имена и идентификатор на лицата, поставени под пълно или ограничено запрещение в Регистъра по чл. 10г от ЗХ, наред с данните за вписалите се в същия лица (другите категории уязвими лица по чл. 10в, ал. 2, т. 3 и т. 4 от ЗХ).

4.2. НАП счита, че е налице валидно правно основание за обработване на посочената категория лични данни. Липсата на достъп до данните от страна на надзорния орган в областта на хазарта и хазартните дейности – НАП, възпрепятства изпълнението на законово задължение, което се прилага спрямо ОХИ и ще постави НАП във фактическа невъзможност да изпълнява вменените ѝ със закон задачи и правомощия.

4.3. Гарантирането на правата на субектите би се постигнало посредством изпълнението на следните организационни и технически мерки:

– от НАП предлагат да бъдат обработвани единствено лични данни от категорията на идентификатор ЕГН, без каквито и да е допълнителни данни относно имена на лицата и/или данни за наличието на конкретни медицински предпоставки, водещи до правната последица на поставяне под запрещение;

– импортирането/приобщаването на данните за идентификатор ЕГН на запретените лица в Регистъра по чл. 10г от ЗХ ще предостави допълнителна защита за тези лица, тъй като оправомощените да извършват справки по чл. 10д, ал. 2 от закона длъжностни лица, определени от изпълнителния директор на НАП, както и служители, определени от организаторите на хазартните игри, не биха били в състояние да диференцират кои от вписаните в регистъра лица са се вписали доброволно или чрез свой законен представител, и кои от тях са поставени под запрещение;

– предвидени са подходящи технически мерки за защита на данните в Регистъра;

4.4. По отношение на принципа „свеждане на данните до минимум” – за ОХИ същият категорично ще бъде спазен, тъй като Регистърът е функционално създаден по начин, който да позволява извършването на конкретна справка, в конкретен момент, по отношение на точно определено лице, което е заявило желание за участие в хазартна игра, като връща изключително минимизирана информация относно обстоятелството дали лицето е вписано или не в Регистъра, без каквито и да е допълнителни данни. Що се касае до предоставянето на данни на НАП за идентификатор ЕГН на всички вписани в НБД „Население” запретени лица, от НАП изразяват следното:

Забраната, както беше споменато по-горе,в качеството си на тотална, повсеместна и неограничена във времето рестрикция от определени индивидуални права с цел защита на дадени общи/обществени интереси, предполага постоянен достъп на НАП до съответните данни. В противен случай съществува реален риск от частично неизпълнение на забраната.

4.5. Предоставянето на достъп на НАП до данни на вписаните в НБД „Население” запретени лица само по отношение на отделни случаи, без този достъп да се отнася до целия регистър с лични данни (съображение 31 от преамбюла на ОРЗД), би било нецелесъобразно и на практика ще обезсили императивната разпоредба за въвеждане на забрана от участие на запретените лица в хазартни игри, поради съображенията, изложени в становището на НАП към т. 2 от настоящето изложение.

4.6. Функциите на ЕСГРАОН са да осигури информационно и административно обслужване на законодателната, изпълнителната и съдебната власт. Съгласно чл. 106, ал. 1, т. 2 от ЗГР, данните от ЕСГРАОН се предоставят на държавни органи и институции съобразно законоустановените им правомощия, каквито в настоящия случай безспорно са вменени със закон на НАП. 

4.7. Евентуално бъдещо сътрудничество между МРРБ и НАП по отношение на обмен на данни за идентификатор ЕГН на запретени лица, във връзка с официалните правомощия на НАП по реализиране на забраната за участие на посочената категория лица в хазартни игри, може да бъде регламентирано с актуализиране на действащата Инструкция № И-6 от 6.07.2006 г. за осигуряване на текущ обмен на информация между Националната агенция за приходите към министъра на финансите и Министерството на регионалното развитие и благоустройството (Издадена от министъра на финансите и министъра на регионалното развитие и благоустройството, обн., ДВ, бр. 61 от 28.07.2006 г.).

1. Налице ли е правно основание за Националната агенция за приходите да обработва лични данни от категорията единствено на идентификатор ЕГН (или аналогичен) на лицата, поставени под пълно или ограничено запрещение, за целите на изпълнение на разпоредбата на чл. 10в, ал. 2, т. 2 във вр. чл. 10в, ал. 1 от ЗХ?

2. Допустимо ли е данни за идентификатор ЕГН (или аналогичен) на лицата, поставени под пълно или ограничено запрещение, без каквато и да е допълнителна информация, пряко или косвено свързана с тяхното здравословно състояние, да бъдат импортирани/приобщени към данните, обработвани в Регистъра по чл. 10г, ал. 1 от ЗХ, предвид че последният е единствената предвидена към момента законодателна мярка за реализиране на забраната по чл. 10в, ал. 1 от ЗХ запретените лица да не участват в хазартни игри?

Законът за гражданската регистрация (ЗГР) е нормативният акт, уреждащ условията и реда за гражданската регистрация на физическите лица в Република България. Тя включва съвкупността от данни за едно лице, които го отличават от другите лица в обществото и в семейството му в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес, наличие на правни ограничения и др. (чл. 1, ал. 1 и 3 ЗГР).

Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях. Една от ключовите функции на ЕСГРАОН е да осигурява информационно и административно обслужване на законодателната, изпълнителната и съдебната власт в страната (чл. 101, т. 6 ЗГР).

В тази връзка, в разпоредбата на чл. 106, ал. 1 от ЗГР са изброени изчерпателно условията и категориите субекти, на които Главна дирекция „Гражданска регистрация и административно обслужване” (ГД „ГРАО”) в Министерството на регионалното развитие и благоустройството (МРРБ) предоставя данни от ЕСГРАОН, а именно на:

Според трайната практика на Върховния административен съд (ВАС)¹ условията, при наличието на които данните от ЕСГРАОН подлежат на предоставяне са различни и разликите са обусловени от вида на правния субект, поискал достъп до тях. В нормата на чл. 106, ал. 1 ЗГР са определени три отделни категории субекти, на които се предоставят данни от ЕСГРАОН – физически лица (т. 1), държавни органи и институции (т. 2) и юридически лица (т. 3).

Съгласно чл. 2, ал. 3 от Закона за хазарта (ЗХ) в хазартните игри могат да участват само пълнолетни дееспособни физически лица, за които няма ограничения в този или в други закони. Същевременно с чл. 10в от ЗХ се въвеждат мерки за защита, които целят да се намалят или избегнат потенциални негативни икономически, социални и личностни последици за уязвими лица и техните близки и които имат за цел забрана или недопускане до участие в хазартни игри. Категориите уязвими лица са изчерпателно посочени в ЗХ, а именно:

• малолетните и непълнолетните;

• лицата, поставени под пълно или ограничено запрещение;

• всяко лице, което смята, че има проблем с хазарта;

• лицата, чието социално положение и/или равнище на доходи може да ги направи по-податливи към участие в хазартни игри и развиване на хазартна зависимост.

Въведените мерки за защита, изразяващи се в забрана и недопускане до участие в хазартни игри, налагат обработването на лични данни, свързани с тяхната дееспособност и евентуални правни ограничения, като такава информация е налична единствено в ЕСГРАОН.

Забраната за участие в хазартни игри на определени лица предпоставя задължението на организаторите на хазартни игри (ОХИ) и съответно на контролния орган НАП, с цел упражняване на официалните си правомощия, да достъпват въпросната информация с цел изпълнение на изискванията на ЗХ.

При така изложените аргументи може да се направи обоснован извод, че е налично правно основание за достъп до данните в ЕСГРАОН с цел проверка за евентуалното поставяне на лицата, изразили желание за участие в хазартни игри, под пълно или ограничено запрещение, доколкото тази информация не е налична в документа за самоличност.

За ОХИ приложение намира основанието по чл. 6, пар. 1, б. „в” във връзка с чл. 9, пар. 2, б. „ж” от ОРЗД и чл. 2, ал. 3, както и чл. 10в от ЗХ. Основанието за получаване на достъп до лични данни от органите на НАП, за посочените по-горе цели, е чл. 6, пар. 1, б. „д”, пр. 2 във връзка с чл. 9, пар. 2, б. „ж” от Регламент (ЕС) 2016/679 и чл. 16, чл. 17 и чл. 89 от ЗХ, което е и предпоставката да се приложи хипотезата на чл. 106, ал. 1, т. 2 от ЗГР.

Водени от изложеното дотук, с цел яснота, се налагат някои допълнителни принципни уточнения. Компетентността на органите на управление се очертава с кръга от правомощия, които са им възложени по осъществяване на определени държавни функции. Властническият характер на тези отношения дава права и задължения на административния орган по отношение на собствената му дейност, а именно държавното управление. Регламентирането на правомощията на административния орган предвижда извършването на множество конкретни действия, чрез които непрекъснато и съвкупно се реализира неговата компетентност.

В духа на вече изразени от КЗЛД становища (рег. № ПНМД-01-87/2020 г. и рег. № ПНМД-01-64/2021 г.), не може да се сподели позицията за стриктното тълкуване на разпоредбата на чл. 106, ал. 1, т. 2 от ЗГР, да се изисква наличието на „законоустановено правомощие” на държавен орган или институция – т.е. изрично уредено право на достъп до данните от ЕСГРАОН. Във въпросното твърдение има вътрешно противоречие. Публичните органи, като субекти на административното право, имат властнически правомощия, които са свързани с тяхната компетентност в съответна сфера на обществени отношения. В съществена част от случаите, упражняването на правомощия, респективно реализирането на компетентността, е свързано с обработване на лични данни. Нещо повече, обработването на лични данни в определени случаи е необходимо за упражняването на официални правомощия. Това означава, че реализирането на правомощията се обуславя от необходимостта за обработване на определен обем от лични данни, докато в противен случай може да се възпрепятства или да се стигне до невъзможност да се упражнят възложените от закон правомощия (арг. чл. 6, пар. 3 от Регламент (ЕС) 2016/679). В този смисъл обработването на лични данни не може само по себе си и самоцелно да е правомощие, то обаче може да е необходим и съществен елемент от сложния фактически състав на упражняването на властническите правомощия от органа на държавна власт. Подобно стеснително тълкуване на смисъла на понятието „правомощие”, противоречи на Регламент (ЕС) 2016/679, тъй като води до неприложимост на правното основание за обработване на лични данни по смисъла на чл. 6, пар. 1, б. „д”, пр. 2 от същия. По аналогия на казаното по-горе, стеснителното тълкуване би довело и до практическа невъзможност за публичните органи да получават данни от ЕСГРАОН, необходими за изпълнение на техните правомощия, тъй като те могат да попаднат единствено в обхвата на хипотезата по т. 2 на чл. 106, ал. 1 от ЗГР. Недопустимо е от публичните органи да се изисква наличието на изрично разписано в нормативен акт задължение/право на достъп до данните от ЕСГРАОН, тъй като подобен подход би разширил както основанията за обработване на лични данни по ОРЗД, така и би бил в противоречие със специалния статут на публичните органи, предвиден чрез ясното разграничение на правните субекти по чл. 106, ал. 1 от ЗГР.

Не на последно място, в настоящия правен анализ заслужава да се акцентира и върху приложното поле на Закона за електронното управление (ЗЕУ), който урежда обществените отношения между административните органи, свързани с работата с електронни документи и предоставянето на административни услуги по електронен път, както и обмена на електронни документи между административните органи. Съгласно разпоредбите на ЗЕУ, административните органи не могат да изискват от гражданите и организациите представянето или доказването на вече събрани или създадени данни, а са длъжни да ги съберат служебно от първичния администратор на данните. Първичният администратор на данни е административен орган, който по силата на закон събира или създава данни за гражданин или организация за първи път и изменя или заличава тези данни (в случая това е ГД „ГРАО” в МРРБ). Нещо повече, ЗЕУ вменява на първичния администратор задължение да изпраща служебно и безплатно данните на всички административни органи, които въз основа на закон също обработват тези данни и са заявили желание да ги получават. Това задължение по ЗЕУ напълно кореспондира с възложените с чл. 101 от ЗГР функции на ЕСГРАОН, inter alia, осигуряване на информационно и административно обслужване на законодателната, изпълнителната и съдебната власт. В същия дух е и разпоредбата на чл. 36, ал. 6 от Административнопроцесуалния кодекс (АПК), съгласно която органът, водещ производството по своя инициатива или по искане на страна, изисква от съответните административни органи, органите на съдебната власт, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, в рамките на своята компетентност да издадат и изпратят удостоверения, да изпратят документи, други доказателства или информация, от значение за производството. Тези принципни положения кореспондират и с нормата на чл. 111 от ЗГР, съгласно която ЕСГРАОН предоставя данни на информационните системи в страната и получава данни от тях, а предоставяните от ЕСГРАОН данни за гражданската регистрация на лицата имат задължителен характер за останалите информационни системи, извършващи административно обслужване на населението (каквато по своята същност представлява системата на НАП).

Наред с горното, следва да се има предвид, че в законодателството за защита на данните е залегнало принципно правило, според което исканията за разкриване на данни, освен че трябва да са съобразени с целите на обработването, следва винаги да бъдат обосновани и да засягат само отделни случаи и не трябва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни (арг. съобр. 31 от ОРЗД). Това разбиране намира израз и в трайната практика на КЗЛД по въпросите за достъп до регистри, създавани и поддържани от публичните органи. Според трайната практика на КЗЛД пълен и неограничен достъп до регистри, поддържани от публични органи е недопустим (вкл. предоставянето на копие/извадка от целия регистър или на определена част от същия).

Предоставянето от МРРБ и съответното съхранение на данните от НАП на всички запретени лица, съдържащи се в ЕСГРАОН, не съответства на принципите за защита на личните данни, поради потенциалния, но и реален риск от обработване на данните на трети лица, различни от конкретно явилите се при съответното ОХИ и заявили участие за конкретни хазартни игри. Така ще се обработват лични данни на физически лица, които може никога да не заявят пред ОХИ участие в хазартни игри. В този смисъл, общото и неизбирателно¹ обработване (в случая достъп и съхранение) на данните на всички запретени лица е недопустимо, тъй като не може да се обоснове необходимостта и пропорционалността (чл. 5, пар. 1, б. „б” и „в” от ОРЗД) за обработването им от НАП и ОХИ. В същото време, периодичното предоставяне на тези данни от МРРБ на НАП за всички запретени лица, вписани в регистъра на Населението, би довело и до нарушение на принципа за точност (чл. 5, пар. 1, б. „г” от ОРЗД), доколкото информацията в ЕСГРАОН е динамична. Не на последно място, следва да се отбележи, че нарушението на принципите за обработване на лични данни и липсата на правно основание, са скрепени с по-високите санкции, въведени с чл. 83, пар. 5, б. „а” от Регламент (ЕС) 2016/679.

Отчитайки правния анализ, изложен по-горе, в разглеждания случай, ГД „ГРАО” към МРРБ може да предостави чрез НАП данни на ОХИ, необходими им за извършването на конкретни проверки/справки за наличието на запрещение на конкретните лица, заявили участие в хазартни игри. Механизмът за предоставяне на тази информация, включително въведените технически и организационни мерки, трябва да осигурят проследимост, пълна отчетност и контрол по отношение на достъпа до въпросните данни (арг. чл. 5, пар. 2 във връзка с чл. 24 от ОРЗД).

По тези съображения и на основание чл. 58, пар. 3, б. „б” от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 и чл. 12 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

1. За целите на изпълнение на контролните си правомощия по Закона за хазарта, НАП може да получава от ГД „ГРАО” към МРРБ, под формата на конкретни справки по ЕГН, достъп до данните за наличието на запрещение на конкретните лица, заявили участие в хазартни игри.

2. За целите на изпълнение на законовите си задължения по Закона за хазарта, чрез НАП, ОХИ могат да получават от ГД „ГРАО” към МРРБ, под формата на конкретни справки по ЕГН, достъп до данните за наличието на запрещение на конкретните лица, заявили участие в хазартни игри.

3. Механизмът за опосредствано достъпване до тези данни, включително въведените технически и организационни мерки (от ГД „ГРАО” към МРРБ, НАП и ОХИ), трябва да осигурят проследимост, пълна отчетност и контрол по отношение на достъпа до тях (арг. чл. 5, пар. 2 във връзка с чл. 24 от ОРЗД).

4. Предоставянето от ГД „ГРАО” към МРРБ на предварителен, пълен и неограничен достъп на НАП и ОХИ и последващото съхранение от тях на данните за всички запретени лица, противоречи на принципите за обработване на лични данни, прогласени в чл. 5 от ОРЗД.

________________