Становище на КЗЛД по искане от председателя на К.О.Н.П.И. във връзка с приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венета Шопова, Валентин Енев и Веселин Целков на заседание, проведено на 04 декември 2013г., разгледа искане за становище с вх.№П-7540/28.11.201 Зг. от г-н. П.Г.- Председател на К.О.Н.П.И. във връзка с приложението на Закона за защита на личните данни.

Получено е искане за становище с вх.№П-7540/28.11.201Зг. от г-н. П.Г.- Председател на К.О.Н.П.И. (КОНПИ) относно постъпило в КОНПИ писмо с вх.№ЦУ01/3017 от 08.11,2013г. от ГД „Гражданска регистрация и административно обслужване“ към Министерство на регионалното развитие, в което ГД ГРАО е изразило виждането си, че с разпоредбата на чл.34, ал.1 от Закона за отнемане в полза на държавата на незаконно придобито имущество е отнета правната възможност и основание за предоставяне на КОНПИ на достъп до РН-НБД „Население“. В искането си до КЗЛД К.О.Н.П.И. е изразила своята позиция по въпроса, като категорично оспорва така направения извод от ГД ГРАО и съответно разбирането, че сключеното между КОНПИ и Министерство на регионалното развитие (МРР) Споразумение за предоставяне на достъп до данни в НБД „Население“ следва да бъде прекратено. Изрично е посочено, че обработването на лични данни е необходимо за изпълнение на нормативно установени задължения за КОНПИ и поради това поради това е изложено виждането, че действието на споразумението следва да продължи и за напред. В своето искане КОНПИ е посочила, че текстовете на чл.15, ал.1 и чл.18, ал.2 от Закона за отнемане в полза на държавата на имущество придобито от престъпна дейност (ЗОПДИППД) /отм./ на основание, на които е сключено споразумението са инкорпорирани в чл.28 и чл.34 от ЗОПДНПИ и поради това същата не счита за основателно твърдението, че споразумението следва да бъде прекратено.

Към искането са приложени:

1. Писмо с вх.№ЦУ01/3017 от 08.11.2013г. от ГД „Гражданска регистрация и административно обслужване“ към Министерство на регионалното развитие;

2. Споразумение №90-03-558/19.07.2011г.за предоставяне на достъп до данни в НБД „Население“.

Гражданската регистрация включва съвкупност от данни за едно лице. които го отличават от другите лица в обществото и в семейството му в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес и др. Гражданската регистрация на физическите лица в Република България се основава на данните в актовете за тяхното гражданско състояние и на данните в други актове, посочени в закон. Вписването в регистъра на населението се извършва в общините по постоянния адрес на физическите лица. В регистрите на актовете за гражданско състояние се вписват /в населеното място, в което е настъпило събитието/ събитията раждане, брак и смърт за всички лица, които към момента на настъпване на събитието са български граждани, и за лицата, които не са български граждани, но към момента на настъпване на събитието се намират на територията на Република България, като отговорността за гражданската регистрация на територията на конкретна община е на кмета на общината, съобразно разпоредбата на чл.4. ал.3 от Закона за гражданската регистрация.

Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях (чл. 100 Закон за гражданската регистрация). Методическото ръководство и контролът на дейностите, свързани с гражданското състояние, гражданската регистрация и автоматизираните информационни фондове, се осъществяват от Министерството на регионалното развитие със съдействието на Министерството на правосъдието и Комисията за защита на личните данни (чл. 113 от Закона за гражданската регистрация). С оглед на гореизложеното следва да се посочи, че министърът на регионалното развитие е администратор на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД. Като такъв, той е длъжен да предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Съгласно чл.106, ал.1, т.2 от Закона за гражданската регистрация (ЗГР) данните от ЕСГРАОН се предоставят на държавни органи и институции съобразно законоустановените им правомощия, като условията за достъп и за предоставяне на данни от регистрите се определят със споразумение между министъра на регионалното развитие и потребителя по ред, определен в наредбата НАРЕДБА №РД-02-20-9 от 21 май 2012г. за функциониране на единната система за гражданска регистрация издадена от Министерството на регионалното развитие и благоустройството, обн. ДВ.бр.43 от 8юни 2012г. (Наредбата). Съгласно цитираната Наредба предоставянето на достъп се извършва само до регистрите, поддържани на национално ниво, като достъпът се осъществява отдалечено по електронен път с ползване на квалифициран електронен подпис, издаден в съответствие с изискванията на Закона за електронния документ и електронния подпис, чрез потребителски или програмен интерфейс. В Наредбата е посочено също, че достъпът чрез програмен интерфейс може да се осъществи с други мерки и средства за защита, както и че квалифицираният електронен подпис трябва да съдържа ЕГН на автора на електронния подпис. Съгласно чл.152, ал.1 от Наредбата достъпът се предоставя от Министерството на регионалното развитие и благоустройството, Главна дирекция „ГРАО“. Обемът на предоставените данни чрез достъп до регистрите се определя от целите, за които достъпът се предоставя, и при спазване изискванията на Закона за защита на личните данни. В тази връзка и съобразно този ред е и сключеното между администратора на лични данни КОНПИ и ГД „Гражданска регистрация и административно обслужване“ към Министерство на регионалното развитие.

Във всички случаи на осъществяване на действия по предоставяне на данни от регистрите на населението или от регистрите на актовете за гражданско състояние, същите съставляват действия по обработване на лични данни по смисъла на легалната дефиниция, посочена в §1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

По смисъла на §1, т.5 от Допълнителните разпоредби на ЗЗЛД, „предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея и съставлява обработване на лични данни по смисъла на закона.

По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл.4 от ЗЗЛД, според който обработването на лични данни (в случая предоставянето на данни от кадастъра) се допуска, когато е налице поне едно от изчерпателно изброените и дадени алтернативно в закона условия за допустимост, а именно:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси наадминистратора на лични данни или на трето лице, на което се разкриват данните, освенкогато пред тези интереси преимущество имат интересите на физическото лице, за което сеотнасят данните.

Достатъчно е наличието на поне едно от горепосочените и дадени алтернативно в закона основания, за да е налице допустимо и законосъобразно обработване на лични данни. Сключеното между администратора на лични данни КОНПИ и ГД „Гражданска регистрация и административно обслужване“ към Министерство на регионалното развитие споразумение е за реализиране на целите, а именно- предотвратяване и ограничаване на възможностите за извличане на облаги от престъпна дейност и предотвратяване разпореждането с имущество, придобито от престъпна дейност, съгласно разпоредбата на чл.2 от Закона за отнемане в полза на държавата на имущество, придобито от престъпна дейност (ЗОПДИППД), отменен с Закона за отнемане в полза на държавата на незаконно придобито имущество в сила от 19.11.2012г. (ЗОПДНПИ), съгласно параграф 2 от Преходните и заключителните разпоредби на същия. В конкретния казус се предполага наличието на условие за допустимост към датата на сключване на споразумението визирано в чл.4, ал.1 от ЗЗЛД, което е визирано и в текста на самото споразумение, а именно чл.15 от отменения ЗОПДИППД, съгласно който органите на комисията в производството по установяване на имущество, придобито от престъпна дейност /директорите на териториалните дирекции и инспекторите в тези дирекции/ извършват проверки и събират доказателства за установяване на произхода и местонахождението на имущество, за което има данни, че е придобито пряко или косвено от престъпна дейност. Органите имат право да искат съдействие и сведения от всички държавни и общински органи. Предоставянето на поисканата информация не може да бъде отказано или ограничено по съображения за служебна или търговска тайна. ГД „Гражданска регистрация и административно обслужване“ към Министерство на регионалното развитие са изложили своето съображение, че поради влизане в сила на Закона за отнемане в полза на държавата на незаконно придобито имущество /ЗОПДНПИ/ (обн. ДВ, бр. 38 от 18 май 2012г.) от 19.11.2012г“ с който се отменя Закона за отнемане в полза на държавата на имущество, придобито от престъпна дейност и с оглед разпоредбата на т.4.1 от Споразумение №90-03- 558/19.07.2011 г“ съгласно която същото се прекратява при отпадане на правните основания за предоставяне на лични данни, възниква необходимост от прекратяване действието на Споразумението. Съгласно предвидения със ЗОПДНПИ ред за взаимодействие с други държавни органи, при изпълнение на правомощията си, органите на Комисията (директорите на териториалните дирекции и инспекторите в тях) могат да искат съдействие и сведения от държавни органи, като последните са длъжни да ги предоставят в указания срок. Обработването на лични данни (в т.ч. предоставянето на данни относно гражданската регистрация на физическите лица) следва да се извършва в съответствие със Закона за защита на личните данни (чл. 34, ал.4 от ЗОПДНПИ).

ГД „Гражданска регистрация и административно обслужване“ са изложили виждането си, че с разпоредбата на чл.34, ал.1 от ЗОПДНПИ не е създадена правна възможност и основание за предоставяне на КОНПИ на достъп до РН- НБД „Население“ с оглед осъществяване на законоустановените й правомощия. Съгласно чл.34. ал.1 от ЗОПДНПИ при изпълнение на правомощията си по този закон органите на комисията /директорите на териториалните дирекции и инспекторите в тях/ могат да искат съдействие и сведения от държавните и общинските органи, търговците, кредитните институции, както и от други юридически лица, от нотариуси и съдебни изпълнители, като органите и лицата по ал.1 на чл.34 са длъжни да предоставят сведенията в срок до един месец от поискването им, с изключение на тези, които се предоставят по специален ред. Съгласно разпоредбата на чл.106, ал.1, т.2 от Закона за гражданската регистрация (ЗГР) данните от ЕСГРАОН се предоставят на държавни органи и институции съобразно законоустановените им правомощия. ГД „Гражданска регистрация и административно обслужване“ считат, че в конкретния случай се касае за предоставяне на данни чрез достъп и за да е налице възможност за предоставянето им по този начин, то тази възможност трябва да бъде изрично законово регламентирана т.е. законът (ЗОПДНПИ) да установява връзка между упражняване на определени правомощия и необходимостта от предоставяне на достъп до РН-ПБД „Население“ (Регистъра на населението, поддържан на национално ниво- Национална база данни „Население“), за да бъдат упражнени тези правомощия. Безспорен е факта, че в цитираната разпоредба не е разписано изрично правото на достъп до РН– НБД „Население“, а изрично е посочено правото да се искат съдействие и сведения. Следва обаче да се обърне внимание, че и към датата на сключване на споразумението, в действащия към онзи момент ЗОПДИППД, в чл.15 от същия също не е било предвидено изрично правото на достъп на КОНПИ до РН- НБД „Население“, а правото да искат съдействие и сведения. Администраторът на лични данни, Министерството на регионалното развитие- ГД „Гражданска регистрация и административно обслужване“ към момента на сключване на споразумението е преценил, че е налице условие за допустимост на обработването на лични данни чрез предоставянето на директен достъп до РН- НБД „Население“. Преценката относно наличието на условие за допустимост за предоставяне на директен достъп до база данни РН-НБД „Население“ или предоставянето на конкретна информация за съдействие и сведение е изцяло в правомощието на администратора на лични данни поддържащ съответния регистър- Министерството на регионалното развитие, ГД „Гражданска регистрация.

Следва да се има предвид, че доказателствената тежест по отношение на наличие на едно от основанията за допустимост на обработването на лични данни е на администратора искащ съответния обем информация, като преценката по отношение на неговото наличие, за всеки един конкретен случай, е на администратора предоставящ данните. В тази връзка е важно да се вземе под внимание и административно наказателната разпоредба на чл.42, ал.1 от ЗЗЛД, съгласно която администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100000лв., в случай че обработва лични данни, без да е налице поне едно от дадените алтернативно в закона основания за допустимост на обработване на лични данни и в нарушение на принципите за тяхната обработка. Именно поради изложеното по-горе е изключително важно да се даде възможност на администратора предоставящ данните- Министерството на регионалното развитие– ГД„Гражданска регистрация“ да извърши самостоятелно горепосочената преценка.

При извършване на горепосочената преценка следва да се вземе под внимание специфичната материя, която урежда ЗОПДНПИ, както и чл.2, ал.2 от ЗЗЛД, където са разписани принципите, при спазването на които следва да се обработват лични данни, т.е. личните данни следва:

1. се обработват законосъобразно и добросъвестно;

2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

3. бъдат съотносими, свързани със и не надхвърлящи целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Правото на защитата на физическите лица от злоупотреби с личната им информация и неправомерна намеса в техния личен живот се гарантира именно от горепосочените принципи, които са в основата на действащото законодателство, регулиращо обществените отношения в сферата на защитата на личните данни.

Във връзка до тук изложеното следва, че е налице условие за допустимост на обработването на лични данни чрез тяхното предоставяне, визирано в чл.34, ал.1 от ЗОПДНПИ, във връзка с чл.106, ал.1, т.2 от ЗГР, при стриктно спазване на принципите за законосъобразност, пропорционалност и целесъобразност на данните, като преценка за това относно начина на нейното предоставяне е изцяло на администратора на лични данни-Министерството на регионалното развитие- ГД „Гражданска регистрация“ поддържащ съответната база данни.

С оглед на горното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изрази следното

При предоставяне на лични данни от един администратор на друг администратор на лични данни следва да е налице условие за допустимост на обработване на лични данни в съответствие с посочените в чл.4, ал.1 от ЗЗЛД и същото следва да се извършва при стриктно спазване на принципите за законосъобразност, пропорционалност и целесъобразност на данните.

Наличието на такова условие е в тежест на доказване от администратора, искащ личните данни, като преценката по отношение на неговото наличие или липса, във всеки конкретен случай, е на администратора, предоставящ данните.

В конкретния казус, на основание чл.4, ал.1, т.1 и т.6 от ЗЗЛД, няма пречка Министерството на регионалното развитие- ГД „Гражданска регистрация“ да предостави достъп до РН-НБД „Население“ на администратора на лични данни- К.О.Н.П.И., тъй като обработването на лични данни е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни-КОНПИ. както и обработването е необходимо за упражняване на правомощия на същия, предоставени със закон на администратора или на трето лице, на което се разкриват данните.

Данните на физическите лица следва да се обработват, чрез тяхното предоставяне, само при наличие на поне едно от условията за допустимост на обработването, визирани в чл.4, ал.1 от ЗЗЛД, както и при стриктно спазване на принципите за целесъобразност и пропорционалност на данните, т.е. да се обработва минимално необходимото количество данни съобразно целите, за които те са необходими, както и характера и вида на данните да са съотносими с тях.