Становище на КЗЛД относно разрешение за директен достъп до Регистър на населението – Национална база данни „Население“, Справка за родственост, достъпвана през средата за междурегистров обмен на данни „RegiX“

С Т А Н О В И Щ Е
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №  ПНМД-01-42/10.04.2024 г.
гр. София, 15.05.2024 г.

ОТНОСНО: Разрешение за директен достъп до Регистър на населението – Национална база данни „Население“, Справка за родственост, достъпвана през средата за междурегистров обмен на данни „RegiX“

Комисията за защита на личните данни (КЗЛД, Комисията) в състав: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 15.05.2024 г., разгледа искане с рег. № ПНМД-01-42/10.04.2024 г. за предоставяне на достъп на основание чл. 106, ал. 1, т. 3, пр. 3 от Закона за гражданската регистрация (ЗГР) до масив от данни в ЕСГРАОН, по-конкретно до поддържания от МРРБ чрез ГД „ГРАО“ Регистър Национална база данни „Население“ – Справка за родственост, достъпвана през средата за междурегистров обмен на данни (RegiX).

Искателят е небанкова финансова институция, вписана в регистъра на финансовите институции по чл. 3а, ал. 1 от Закона за кредитните институции (ЗКИ) към Българска народна банка с предмет на дейност „Придобиване на вземания по кредити и друга форма на финансиране (факторинг)“ по чл. 2, ал. 2, т. 12 от ЗКИ, като поради това си качество е задължен субект по чл. 4, т. 3 от Закона за мерките срещу изпирането на пари (ЗМИП). Уточнява се, че дружеството развива дейността си единствено в сферата на събиране на вече възникнали в патримониума на банкови и небанкови финансови институции вземания, предимно по сключени договори за кредит, които придобива по силата на договори за цесии по чл. 99 от Закона за задълженията и договорите (ЗЗД). В редки случаи дружеството придобива вземания и от дружества, които не предоставят финансови услуги.

С оглед регламентираното от ЗМИП изискване за идентифициране на клиентите при встъпване в делово взаимоотношение, както и нуждата от извършване на комплексна проверка, а в случаите посочени в закона и на разширена комплексна проверка и предвид специфичната дейност на колекторско дружество, по-долу от дружеството се излагат някои специфики и аргументи, относно осъществяването на комплексна проверка от колекторско дружество, на длъжници по изкупени вземания.

  I.  Фактически особености при сключване на договор за придобиване на вземания (цесия)

Обичайната практика е колекторското дружество да придобива вземането чрез договор за цесия. Цесията е договор, уреден в чл. 99 и сл. от ЗЗД, по който страни са само цедентът и цесионерът, поради което за сключването на същия е необходимо само тяхното волеизявление. Не е необходимо волеизявление на длъжника, за да настъпи правопрехвърлителният ефект на сделката. Единственото задължение на предходния кредитор по отношение на длъжника, което законът вменява, е лицето да бъде уведомено за цесията и смяната на кредитора. По силата на чл. 99, ал. 3 от ЗЗД, предишният кредитор – цедент, е длъжен да предаде на новия кредитор – цесионер, намиращите се у него документи, които установяват вземането. Нерядко цедентите са банкови или други финансови институции по чл. 3а от Закона за кредитните институции (ЗКИ), които от своя страна също са задължени лица по ЗМИП. Тези институции извършват първоначална задълбочена комплексна проверка на всички свои клиенти, чиито задължения впоследствие може да бъдат цедирани.

Спецификата на дейността на банковите и небанкови кредитиращи финансови институции при встъпването им в делови отношения с клиенти – физически и юридически лица, предпоставя необходимостта от идентифициране на тези клиенти при установяване на делови взаимоотношения или извършване на случайна операция или сделка. На този начален етап на взаимоотношението, комплексната проверка на клиента, вкл. разширена такава, са необходими и практически обосновани с оглед точното установяване на личността му, свързаността му с видна политическа личност (ВПЛ), неговите финансови възможности и кредитна история, липсата на данни за свързаност с финансови измами, произхода на средствата и др. Всички компоненти на тази проверка се свеждат до това банковата или небанкова финансова институция да може да прецени дали е законово и практически обосновано да встъпи в делови отношения с него, както и да определи нивото на риск, асоциирано с конкретния клиент. Тези институции имат пряк контакт с клиентите си, както и способи за иницииране и осъществяване на такъв, предвид икономическата специфика на типа делови взаимоотношения, предоставяне на финансова услуга кредитиране, която е търсена и желана от клиентите и бъдещи кредитополучатели.

За разлика от банковите и небанкови кредитиращи институции, колекторът, макар също да е задължено лице по ЗМИП и да е задължен да извършва същите дейности по идентифициране, извършване на комплексна и разширена комплексна проверка, няма същите отношения с длъжника по цедираното вземане, нито същите способи за въздействие и осъществяване на комуникация с него. Към момента на цесията, като нов кредитор, той придобива правото да получи плащане от длъжника, но без да има пряк контакт или размяна на волеизявления между тях; хипотетично е възможно до такъв контакт изобщо да не се стигне.

По-нататък в писмото се разяснява, че част от кредитното досие, което цедентът предоставя на цесионера по силата на чл. 99, ал. 3 от ЗЗД, представляват и всички документи и данни, събрани от цедента при идентификацията на длъжника и другите предприети в хода на комплексната му проверка действия. Тази специфика подчертава допълнително разликата във взаимоотношението, която възниква между цедента и клиента, и цесионера и длъжника по прехвърленото вземане, както и разликата в механизмите, с които цедентът разполага за извършване на комплексна проверка

От дружеството считат, че следва да бъде взето предвид, че то сключва договори за цесия и с дружества, които не се явяват задължени субекти по ЗМИП. От това следва, че не прилагат гореизброените мерки за идентифициране на своите клиенти, а оттам и мерки за комплексна проверка и определяне на рисков профил, следователно документите, които се съдържат в клиентското досие са много по-малко и неотносими към проверките, предвидени в ЗМИП.

II. Спазване на задълженията предвидените в чл. 42, ал. 2 и 3 от ЗМИП.

В изпълнение на ЗМИП, дружеството има задължение да прилага мерки за превенция на използването на финансовата система за целите на изпирането на пари. Едно от основните задължения, вменено на финансовите институции от ЗМИП, е да прилагат мерки за комплексна проверка на клиентите си (длъжниците си) – физически лица и на действителни собственици на клиенти юридически лица (ЮЛ) или друго правно образувание, вкл. извършването на разширена комплексна проверка, в това число да ги идентифицират и да проверяват идентификацията им чрез използване на документи, данни или информация от надежден и независим източник. С разпоредбата на чл. 42 от ЗМИП на дружеството се вменява и задължение да разработи ефективна вътрешна система, която да му позволи да установи дали потенциален клиент, съществуващ клиент или действителен собственик на клиент ЮЛ или друго правно образувание е видна политическа личност (ВПЛ) или свързано лице с видна политическа личност (СЛВПЛ).

В чл. 36, ал. 2 от ЗМИП са посочени лицата, попадащи в категорията „видна политическа личност“, а в чл. 36, ал. 5 от ЗМИП са посочени лицата, които попадат в категорията „свързани лица“. ВПЛ и СЛВПЛ са изведени във високорискова категория по силата на самия закон. Законово регламентираният режим за пълноценно изследване дали дадено лице попада или не в тези две категории, произтича от сериозността на заплахата от риска от изпиране на пари, свързан конкретно с тези лица, както е отразено и в Националната оценка на риска на България, актуализираната през 2023 година. Темата е детайлно анализирана в актуализираните Насоки на ДАНС за идентифициране на ВПЛ, СЛВПЛ и установяване на произхода на средствата и източника на богатствата им, достъпни на официалната страница на Регулатора, в раздел „Указания за прилагане на мерките срещу изпирането на пари и финансирането на тероризма“: ДАНС – Насоки за идентифициране на ВПЛ/СЛВПЛ и установяване на произхода на средствата и източника на богатствата им.

Веднъж установило висок риск на клиента поради качество ВПЛ или СЛВПЛ, дружеството, съгласно чл. 38 от ЗМИП, следва да встъпва в делово взаимоотношение единствено при наличие на изрично одобрение от служител на ръководна позиция. Такова одобрение е задължително и за продължаване на деловите отношения, когато качеството ВПЛ/СВЛПЛ е установено след възникването им.

Съгласно ал. 2 на чл. 42 от ЗМИП, източниците на които може да се основава вътрешната система на дружеството, са именно: т. 1 – информация получена чрез прилагане на мерките за разширена комплексна проверка; т. 2 – писмена декларация, изискана от клиента, с цел установяване дали лицето попада в категорията на ВПЛ/СЛВПЛ; т. 3 – информация, получена чрез използването на вътрешни или външни бази данни.

С Държавен вестник, бр. 84 от 06.10.2023 г. е приет и обнародван Закон за изменение и допълнение на Закона за мерките срещу изпирането на пари, с който е приета нова ал. 3 на чл. 42 от ЗМИП, която гласи, че установяването дали потенциален клиент, съществуващ клиент или действителен собственик на клиент – юридическо лице или друго правно образувание, е ВПЛ/СЛВПЛ не може да се основава единствено на информация, получена по чл. 42, ал. 2, т. 2. Това означава, че наличието на декларация по чл. 42, ал. 2, т. 2 от ЗМИП вече не е достатъчно, за да изпълни дружеството своите законови задължения. На дружеството се поставя изискването да прилага още един от източниците, изчерпателно посочени в чл. 42, ал. 2 от ЗМИП, за събиране на информацията за статуса на лицата. Като се вземе предвид, че законодателят изключва предвидения в закона източник – декларациите по чл. 42, ал. 2, т. 2, пред дружеството остават другите 2 възможности – информация, получена чрез прилагане на мерките за разширена комплексна проверка (чл. 42, ал. 2, т. 1) или информация, получена чрез използването на вътрешни или външни бази от данни (чл. 42, ал. 2, т. 3). Предложеният източник в т. 1 е неприложим, тъй като информацията, която се събира в хода на разширената комплексна проверка се припокрива и надгражда тази, събрана в хода на комплексната проверка, която трябва да се извършва за всеки длъжник. Поради особеностите свързани с дейността на колекторите, извършването на първоначална комплексна проверка е затруднено, а оттам и събирането на данни за ВПЛ/СЛВПЛ статус за всеки длъжник, следователно тази информация няма да е налична и в хода на разширената комплексна проверка. В такъв случай единствен източник остава, този предложен в т. 3 – вътрешни или външни бази данни. Въвеждането на новата разпоредба изправя дружеството пред предизвикателство как да събира данни за установяването дали клиентите са ВПЛ/СЛВПЛ, тъй като към момента не съществува регистър на свързаните с видни политически личности лица, а съществуващият Регистър на лицата, заемащи публични длъжности, воден от КПКОНПИ, се отнася само за ВПЛ и не обхваща всички посочени в чл. 36, ал. 2 от ЗМИП категории лица. Дружеството е принудено да търси други „външни бази данни“, от които да черпи тази информация.

В допълнение, следва да бъде взето предвид, че установяването дали длъжниците на  дружеството, а в това число и настоящите, са ВПЛ или СЛВПЛ, или междувременно са придобили такова качество в хода на възникналото делово взаимоотношение с дружеството, единствено посредством декларации по чл. 42, ал. 2, т. 2 от ЗМИП не е ефективен и надежден метод. Този извод е подкрепен както от естеството на дейност на дружеството, така и от качеството на цедента (в зависимост дали е задължен субект по ЗМИП или не е), а именно:

 1. Цеденти — дружества, които са задължени субекти по смисъла на ЗМИП.

Една голяма част от цедираните портфейли са от банки или небанкови финансови институции, които са задължени субекти по смисъла на ЗМИП и следователно чл. 42 от ЗМИП се прилага с пълна сила и за тях. Съгласно ЗМИП идентифицирането дали длъжникът е ВПЛ/СЛВПЛ трябва да се извършва преди прехвърляне на вземанията. Посочените цеденти разполагат, или би трябвало да разполагат с информация дали длъжниците са ВПЛ/СЛВПЛ, и както беше посочено по-горе, следва да прехвърлят цялата налична информация по досието заедно с вземането по задължението. Голяма част от банките и небанковите финансови институции са въвели като задължителна стъпка при кандидатстването за кредит попълването на такава декларация, но има практика клиентите им не винаги да подават достоверна информация. Това може да се дължи на тяхната неосведоменост по отношение на понятието видна политическа личност/свързано лице, или може да се дължи на намерението им да укрият определени факти и обстоятелства за себе си, въпреки предупреждението, че при деклариране на неверни обстоятелства, се носи наказателна отговорност по чл. 313 от Наказателния кодекс. Събраните от цедентите данни и документи не са на разположение на дружеството преди сключването на самия договор за цесия и поради тази причина не могат да извършат идентификация преди встъпване в делови взаимоотношения. А след прехвърлянето им се оказва, че информацията не е актуална, защото от момента на възникване на задължението до неговото цедиране към дружеството е минал дълъг период от време (обикновено около 2 г.), в който обстоятелствата около клиентите (длъжниците след прехвърлянето) може да са се променили. В други случаи, клиентите декларират, че са ВПЛ/СЛВПЛ, но без достъп до данни от официален източник, е невъзможно да бъде потвърдено или отхвърлено даденото твърдение.

 2.Цеденти — дружества, които не са задължени лица по смисъла на ЗМИП.

По друг начин седят нещата по отношение на цедентите, които не са задължени субекти по смисъла на ЗМИП. На тях не им е вменено задължение да изследват статуса на своите клиенти, вследствие на което те не разполагат с информация дали техните клиенти са ВПЛ/СЛВПЛ. От това следва изводът, че не е възможно да се извърши идентификация и комплексна проверка преди прехвърляне на вземанията. При закупуването на портфейли от посочения вид дружества, възниква нуждата след придобиване на вземанията, когато вече клиентите са придобили качеството длъжник, дружеството да установи дали длъжниците са ВПЛ/СЛВПЛ. Изпълнението на задълженията по ЗМИП от дружеството са затруднени допълнително от факта, че разполагат със силно ограничен обем от информация за длъжниците, поради естеството на дейност на цедентите.

 3. Естеството на дейността на дружеството

От изложеното в т. 1 и т. 2 по-горе, дружеството прави извод, че е затруднено да извърши подходяща идентификация на своите длъжници преди встъпване в делови взаимоотношения с тях. Следователно информацията за техния ВПЛ/СЛВПЛ статус трябва да бъде събрана директно от самите длъжници. Поради естеството на дейност на дружеството сдобиването с такива данни посредством попълването на декларация, или дори в телефонен разговор, е невъзможно. Нито едно лице – длъжник не би имал желание/воля да попълни и предостави такава декларация. А дори и в редкия случай някой от длъжниците да е попълнил такава декларация, то данните в нея не могат да бъдат верифицирани.

От описаната фактическа обстановка следва, че единственият възможен източник, въз основа на който дружеството може да изгради ефективна вътрешна системата в изпълнение на чл. 42 от ЗМИП е ползването на информация, получена чрез използването на „вътрешни или външни бази от данни“ (чл. 42, ал. 2, т. 3 от ЗМИП). Такава външна и надеждна база данни се явява Регистър Национална база данни „Население“ (Регистъра). Чрез осъществяване на директен достъп до Регистъра, по-конкретно Справка родственост, посредством информационната система RegiX, дружеството ще може да получи данни за ВПЛ/СЛВПЛ статус на цедираните длъжници, а също така ще може да извършва регулярен мониторинг на текущите длъжници.

 III. Спазване на задълженията, предвидени в чл. 35 и следващите от ЗМИП

В допълнение, установяването дали един длъжник е ВПЛ/СЛВПЛ води до нуждата от предприемане на допълнителни мерки за разширена комплексна проверка, съгласно чл. 35 и следващите от ЗМИП. При невъзможност за дружеството да установи коректно дали длъжниците му са видни политически личности или свързани лица на видни политически личности, възниква сериозният риск от това те да останат неидентифицирани. Следователно за тях няма да са предприети посочените в ЗМИП допълнителни мерки, съпътстващи разширената комплексна проверка, а именно — изясняване на източника на имуществено състояние на длъжника. От своя страна некоректното идентифициране води и до некоректно определяне на рисковия профил на същия, а оттам и на периода за провеждане на регулярен мониторинг, което представлява гаранция за информирано решение от страна на задълженото по ЗМИП лице относно поемания риск.

Така описаните обстоятелства в т. II и т. III представят колко важно е за дружеството да може правилно да идентифицира своите длъжници. Неизпълнението на всяко от вменените със ЗМИП задължения водят до възникването на възможност за ангажиране на административнонаказателна отговорност на дружеството, отговорност, която би била ангажирана не поради нежеланието на дружеството да изпълни своите законови задължения, а поради обективна невъзможност да ги осъществи. Налагането на имуществена санкция в допълнение би довела и до възникването на репутационен риск, тъй като регулаторният орган – Държавна агенция „Национална сигурност“, поддържа публичен списък с дружествата и лицата, на които са наложени имуществени санкции/глоби за неизпълнение на разпоредбите на ЗМИП.

 IV. Предоставяне на директен достъп посредством информационната система RegiX до Регистър Национална база данни „Население“, Справка родственост.

На следващо място в писмото се посочва, че дружеството е организация, предоставяща обществени услуги по смисъла на чл. 1, ал. 2 от Закона за електронното управление (ЗЕУ), на основание Решение 175 от 23.07.2018 г., което прилагаме за улеснение и в което ясно се посочва, че Дружество – финансова институция е заинтересовано лице по чл. 1, ал. 2 от Закона за електронното управление (ЗЕУ), тъй като е организация, предоставяща обществени услуги. На основание чл. 40 от ЗЕУ административните органи са задължени да предоставят електронни административни услуги на организациите, предоставящи обществени услуги, а в „обществени услуги“ по смисъла на § 1, т. 12 от Допълнителните разпоредби на ЗЕУ попадат и финансови услуги, каквито осъществява дружеството. Чл. 3, ал. 1 ЗЕУ ограничава административните органи, лицата, осъществяващи публични функции и организациите, предоставящи обществени услуги, да не изискват от гражданите и от други организации, на които предоставят услуги, вече събрани или създадени данни, а да ги съберат от първичния администратор на данните, какъвто в случая е Министерство на регионалното развитие и благоустройството (МРРБ). Отделно в чл. 3 ЗЕУ изрично е посочено, че първичният администратор на данните изпраща служебно и безплатно същите на административните органи, лицата, осъществяващи публични функции и организациите, предоставящи обществени услуги, каквато организация е дружеството.

С Решение от 14.12.2021 г., постановено в отговор на искане с рег. № ПНМД-01-29#4/2021 г., Комисия за защита на личните данни (КЗЛД) разрешава на Министерство на регионалното развитие и благоустройството да предостави на дружеството достъп до Национална база данни „Население“, Справка за родственост по реда на Глава VI, Раздел II на Наредба РД 02-20-9/21.05.2012 г., с цел изпълнение на законови задължения по чл. 36, ал. 5, т. 3 и 4 от ЗМИП; чл. 42, ал. 2, т. 2 и 3от ЗМИП; чл. 41 от ППЗМИП. С последващо уведомление с изх. № ПНМД-01-07#l от 03.08.2022 г. от КЛЗД до Министъра на регионалното развитие и благоустройството в отговор на постъпило от министъра писмо с вх. № ПНМД-01-74/18.07.2022 г., Комисията е дала тълкуване по отношение на Решението си от 14.12.2021 г., постановено в отговор на искане с рег. № ПНМД-01-29#4/2021 г., с което е конкретизирала, че достъпът се предоставя по реда на Глава VI, Раздел I на Наредба РД 02-20-9/21.05.2012 г., вместо по реда на Глава VI, Раздел II на Наредба РД 02-20-9/21.05.2012 г. Това коригиращо тълкуване ограничава директния достъп на дружеството до Регистъра, по-конкретно Справка за родственост, посредством средата за междурегистров обмен на данни RegiX.

Както дружеството споменава по-горе, то следва да използва още един източник на информация за установяване на ВПЛ/СЛВПЛ статус на своите длъжници, в изпълнение на чл. 42, ал. 3 от ЗМИП, тъй като попълването на декларация не е достатъчно. В процеса на обработка на вземанията на длъжниците си, дружеството събира необходимата информация за идентификация на всеки един от тях, а след това извършва регулярна проверка на определен интервал от време, в зависимост от нивото на асоцииран риск, в която проверка отново събира информация дали същият е ВПЛ/СЛВПЛ. Към момента, според коригиращото тълкуване на КЗЛД, на дружеството е предоставен достъп до Регистъра по реда на Глава VI, Раздел I на Наредба РД 02-20-9/21.05.2012 г. – чрез подаване на писмено заявление за всеки един длъжник на дружеството, съгласно чл. 143 от Наредбата. Това създава ненужна административна тежест както за него, така и за административния орган – Главна дирекция „Гражданска регистрация и административно обслужване“. По същество, с така предоставеният недиректен достъп се изгубва практическият смисъл на това дружеството да има право на тези данни за целите на комплексната проверка по ЗМИП. Това е така, защото проверка за целите на идентификация и верификация, в това число за установяване ВПЛ/СЛВПЛ статус би била ефективна и пригодна за превантивните цели на Закона, единствено и само, когато проверката може да се извършва своевременно и в обем, съответстващ на базата данни на задълженото лице по ЗМИП.

От дружеството предоставят и допълнителни мотиви, че директният достъп е законова възможност, предоставена съгласно Глава шеста, Раздел II „Предоставяне на достъп“ от Наредба РД 02-20-9/21.05.2012 г. за функциониране на Единната система за гражданска регистрация. Подходът за предоставяне на директен достъп е възприет за подходящ по отношение на финансовите институции, каквато е и дружеството, предоставящи обществени услуги по смисъла на ЗЕУ, съгласно съдебната практика, като напр. влязло в сила Решение № 1091 от 22.02.2022 г. по ад. дело № 1549/2021 г. по описа на Административен съд – София-град. Цитираното решение възприема предоставянето на директен достъп на задължените субекти по чл. 4 от ЗМИП до НБДН като напълно основателен и необходим в качеството му на независим източник по смисъла на чл. 10, т. 1 и чл. 52 от ЗМИП, а също така и външна база по смисъла на чл. 42 ЗМИП, тъй като съдът отчита законовите задължения на тези лица, свързани със своевременна идентификация, в това число задължението за разработване на ефективни вътрешни системи, позволяващи установяването на качество ВПЛ или СЛВПЛ на потенциалните и съществуващи длъжници.

Ситуацията цитирана в Решение № 1091 от 22.02.2022 г. е аналогична на настоящата ситуация. В решението се обсъжда въпросът за достъп до данни в публични и/или непублични регистри, като позицията на съда е ясна и категорична, а именно:

„Законът предписва извършване на справки в публични бази данни. НБДН и Класификатора на постоянните и настоящи адреси обаче, не са публичен регистър.

Дружеството е длъжно да разработва ефективни вътрешни системи, които да му позволят да установи дали потенциален клиент, съществуващ клиент или действителен собственик на клиент – юридическо лице или друго правно образувание, е лице по чл. 36 от ЗМИП. Като вътрешните системи по ал. 1 могат да се основават на един или повече от следните източници на информация:

1. информация, получена чрез прилагане на мерките за разширена комплексна проверка;
2. писмена декларация, изискана от клиента, с цел установяване дали лицето попада в някоя от категориите по чл. 36;
3. информация, получена чрез използването на вътрешни или външни бази от данни (чл. 42 от ЗМИП).

Видно от горното, един от източниците на информация е представена от клиента декларация (т. 2 на ал. 2, чл. 42 от ЗМИП). Тази законова възможност обаче, респ. сигурността ѝ, се разколебава от предмета на дейност на дружеството. Нито едно лице – длъжник не би имал желание/воля да представи такава декларация. Този подход на законодателя не е сигурен и надежден. Единствено справките от независим източник (чл. 10, т. 1, чл. 52 ЗМИП), както и информация, получена чрез използването на вътрешни или външни бази от данни (чл. 42, ал. 2, т. 3 от ЗМИП) дава възможност дружеството да изпълни законовото си задължение за комплексна проверка на клиентите, респ. идентифицирането им. Такъв независим източник, външна база данни по см. на посочените разпоредби е НБДН…“

От дружеството посочват също така, че съгласно Решението: „Предоставянето на данни от НБДН и Класификатора за постоянните и настоящи адреси е допустимо въз основа на посочените по-горе разпоредби в качеството на независим източник (чл. 10, т. 1), и външна база (чл. 42 ЗМИП). Допустимо е и на основание легитимния интерес на жалбоподателя съгласно чл. 6, ал. 1, б. „е“ от Регламент (ЕС) 2016 /679 тъй като предоставянето на лични данни на физически лица, съдържащи се в НБДН и Класификатора представлява „обработване“ на лични данни съгласно т. 2 на чл. 4 от Регламент (ЕС) 2016/679, който гласи, че „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. За изпълнение на визираните в ЗМИП задължения, за дружеството е наложително да проверява и получава информация от НБДН и от Класификатора на настоящите и постоянни адреси относно поисканите със заявлението данни/справка за семейно положение, съпруг/а, деца, постоянен и настоящ адрес.“

Дружеството прави изводи от горния цитат, от влязлото в сила съдебно решение и въпреки специалния законов режим, регулиращ тази категория данни – Закон за гражданската регистрация (ЗГР), че съдът признава обществената значимост на възможността за събиране на данни относно настоящ и постоянен адрес, съдържащи се в поддържан от Министерство на регионалното развитие регистър, посредством RegiX, чрез директен достъп до този регистър.

От дружеството отбелязват и че в предмета на горецитираното дело, и наред с данните за постоянен и настоящ адрес, е бил поискан достъп и до данните за семейно положение и справка за родственост. В хода на делото обаче, тъй като от страна на КЗЛД е постановено Решение, с което са дадени тези достъпи, с цел лоялност, коректност и процесуална икономия, от страна на дружеството е направено изрично оттегляне на това искане, тъй като не са и предполагали, че впоследствие е възможно да бъде направено стеснително и коригиращо тълкуване от страна на КЗЛД, съответно преустановяване на достъпа до тези справки от страна на МРРБ.

Предвид идентичната фактическа обстановка и законови основания, като тези разглеждани в решението, както и идентичния тип регистър, достъп до който се разрешава с Решението, по аналогия, такъв независим източник, външна база данни представлява и Справката за родственост, от където по безспорен начин може да бъде верифицирано и дали дадено физическо лице-длъжник е ВПЛ/СЛВПЛ. От дружеството аналогично считат, че мотивите в горепосоченото решение са напълно приложими и следва да обосноват достъп до Справка за родственост, за да се предостави възможност да се установят необходимите данни за длъжниците.

Съдът постановява правото на дружеството на директен достъп, а в изпълнение на съдебното решение първичният администратор на данните (ПАД) – МРРБ предоставя ефективно такъв директен достъп до данни. Достъпът е предоставен именно поради качеството на дружеството на задължен субект по ЗМИП и произтичащите от това нейни задължения и отговорности, свързани с прилагането на ефективни мерки за превенция изпирането на пари. Такава ефективна мярка е адекватната и своевременна идентификация, както и верификация на идентификацията на лицето, с което финансовата институция е встъпила в делови отношения. Данните относно свързаността на лицата с ВПЛ/СЛВПЛ, аналогично на настоящ и постоянен адрес, са дефинирани от законодателя като данни от съществено значение за адекватното извършване на комплексната проверка на лицата — изясняването на свързаността с ВПЛ/СЛВПЛ, е част от нейните неотменни компоненти, наред с идентификацията и нейната верификация.

В допълнение от дружеството посочват, че нормите на чл. 42 от ЗМИП не биха имали практически смисъл, ако допускаха консултиране на информация единствено от публични регистри, защото публичните регистри са достъпни на общо основание и без изрично регламентиран от закона разрешителен режим за събиране на информация от тях. Дружеството твърди, че този извод се подкрепя от цитираното Решение, а както и от факта, че консултирането чрез непублични регистри при разрешителен режим на достъп е широко възприет от БНБ и ДАНС в хода на идентификацията, по-конкретно извършване на справки в база данни на Министерство на вътрешните работи – Регистър Български документи за самоличност, Разширена справка за български лични документи на български граждани и чужденци — V2, до която дружеството има предоставен директен достъп през информационната система RegiX. В подкрепа на тези аргументи е и практиката на съдебните и административни органи, с която категорично, на основание законови задължения за комплексна проверка на лицата по приложимото законодателство за превенция изпирането на пари (в това число идентификация и верификация, включително прилагане на разширена комплексна проверка) се потвърждава правото на достъп на финансовите институции, задължени лица по ЗМИП, в това число на дружеството за събиране на вземания. Така, вследствие на влезли в сила и приведени в изпълнение съдебни решения на компетентните съдебни органи, дружеството има предоставен достъп през средата за междурегистров обмен – RegiX до поддържани от различни ПАД — като НОИ, МВР и МРРБ регистри, в това число регистри относно:

• валидността на документи за самоличност;
• адреси — настоящ и постоянен адрес.

В допълнение на посочените по-горе задължения за извършване на комплексна проверка, вкл. идентификацията и проверката на идентификацията, чл. 46 от ЗМИП вменява на задължените субекти задължение за извършване и на разширена комплексна проверка на клиентите и действителните собственици на клиентите си, които имат гражданство и/или произхождат от държави, които не прилагат или не прилагат напълно международните стандарти в противодействието на изпирането на пари и финансирането на тероризма. В рамките на такава разширена проверка се събира допълнителна информация за клиентите и техните действителни собственици, включително по отношение на свързаността с ВПЛ/СЛВПЛ на задължените лица. За целите на тази проверка, идентификацията и верификацията на идентификацията на длъжници Справка за родственост, поддържана от МРРБ, е единствената база данни, която позволява справка на относимите идентификационни данни за тази категория лица. Същата е от решаващо значение за ограничаване използването на финансовата система за изпиране на пари, придобити от престъпна дейност и финансиране на тероризъм.

1. Преодоляване на административната тежест по извършване на справки в Регистър Национална база данни „Население“.

От дружеството твърдят, че целят да осъществяват дейността си по събиране на вземания при максимално спазване на всички законови изисквания в областта на мерките срещу изпирането на пари, включително по отношение на установяването и проследяването на рисковия профил на длъжниците си. В Глава VI, Раздел I от Наредбата не е посочен срок, в който се обработват заявленията и се изпращат резултатите по справките, но при големия обем от длъжници на дружеството възниква реален риск от забавяне на процесите за установяването и проследяването на рисковия профил на длъжниците поради натоварване на административния орган и забавянето на отговорите. Това забавяне от своя страна ще доведе до икономически необоснована тежест, както за длъжниците, така за дружеството, а и не на последно място за административния орган – МРРБ.

Както се отбелязва в т. IV по-горе, дружество предоставя услуги, които попадат в обхвата на понятието „обществени услуги“ по смисъла на § 1, т. 12 от ДР на ЗЕУ. Обществени услуги са тези имащи ключово значение за функционирането на обществото, каквито са образователните, здравните, комуналните и пощенските, както и банковите и финансови услуги. Списъкът на обществените услуги не е изчерпателен, като обобщаващо те са дефинирани като услуги, предоставени за задоволяване на обществени потребности. Като се вземе предвид визията на ЗЕУ за ролята на финансовите институции, в която група попадат и колекторските дружества, като такива предоставящи обществени услуги, както и във връзка с дейността им, ЗЕУ оправомощава последните, да осъществяват вменените им правомощия, достъпвайки по електронен път регистри, справки и данни, които по закон са длъжни да съобразяват при извършване на дейността си.

Вменените със ЗЕУ обществени функции на финансовите институции се потвърждават и от описаните по-горе отговорности на задължените лица по ЗМИП, който от своя страна транспонира европейското законодателство по превенция изпирането на пари. Последното задава изискването за създаване на механизми, целящи ефективна и навременна превенция на практиките по изпиране на пари, застрашаващи пряко обществената финансова сигурност, както и превенция на престъпността. Финансовите институции, като непосредствени участници в специфичните финансови отношения, успоредно на функциите си по задоволяване на обществени потребности, са натоварени и с отговорността да сътрудничат активно на държавните институции в дейностите по превенция на изпирането на пари. От своя страна, тенденцията на развитие на европейското и съответно на местните законодателства е на последните да се вменява да не поставят пречки за изпълнение на отговорностите на задължените по ЗМИП лица; а обратно, в духа на действащото законодателство за електронно управление, чиято цел е да регламентира предоставянето на административни услуги по ефективен и достъпен ред. На държавните институции се предоставя отговорността да съдействат на задължените по ЗМИП лица с оглед ефективно прилагане на механизмите за превенция, заложени в законодателството относимо към превенцията на изпирането на пари и финансирането на тероризъм.

Така, съгласно Съображение (2) от Директива (ЕС) 2015/849 за предотвратяване използването на финансовата система за целите на изпирането на пари и финансирането на тероризма: „следва да се постигне баланс между целта да се защити обществото от престъпления и да се съхранят стабилността и целостта на финансовата система на Съюза, от една страна, и нуждата, от друга страна, да се създаде регулаторна среда, която да позволява на дружествата да развиват стопанската си дейност, без да понасят прекомерни разходи за постигане на съответствие“. Преграждането на предоставянето на директен достъп до Регистъра е в пряко противоречие с цитираното съображение от Директивата, тъй като забавянето на процесите на работа на дружеството ще доведе до генерирането на „прекомерни разходи“, а също така и загуби и представлява сериозна административна тежест. Генерирането на тези разходи своевременно ще прояви отражение и за длъжниците, тъй като забавянето в процесите води до увеличаване на задължението, заради  начисляващата се законна лихва за забава, като е налице тенденция за повишаване на същата на месечна база в последните няколко месеца, предвид глобалната икономическа обстановка и предвид, че същата вече не е в пренебрежимо малък размер, както е била до скоро.

Предвид горното и необходимостта от практическото прилагане на чл. 42, ал. 2, т. 3 във вр. с чл. 42, ал. 3 от ЗМИП, която е породена от задължението на дружеството да изпълнява своите законови задължения, които са водени от основната цел на ЗМИП – предприемането на мерки за превенция на използването на финансовата система за целите на изпирането на пари, възниква нуждата от извършване на Справка родственост. В духа на постоянно дигитализиращите се обществени отношения, считаме че исканият директен достъп до Справка за родственост посредством RegiX, представлява едно минимално адекватно ниво на консултиране на електронен регистър за целите на превенция изпирането на пари.

 V. Информираност на длъжниците по отношение на защитата на личните данни

Значимостта на обществения интерес за ефективна превенция на изпирането на пари, обезпечен чрез ЗМИП и актовете по прилагането му, не влиза в конфликт и не възпрепятства закрилата на другия обществен и личен интерес, а именно – интересът да бъдат защитени данните за ВПЛ/СЛВПЛ статуса на лицата. Считаме, че общественият интерес от  предоставяне на достъп на дружеството до данни за настоящ и постоянен адрес е също толкова значим, колкото и общественият интерес от предоставяне на достъп на дружеството до данни за ВПЛ/СЛВПЛ. Като администратор на лични данни дружеството е обвързано от задължения и ефективно внедрява и прилага адекватни мерки за защита на личните данни на лицата в съответствие с високите стандарти на Регламент (ЕС) 2016/679.

От дружеството молят КЗЛД да има предвид и че всички видове данни и целите, основанията и начините, по които същите се обработват напълно законосъобразно, са ясно и изчерпателно посочени в публично достъпната Политика за поверителност на дружеството, която може да бъде прегледана на техния уебсайт.

От дружеството декларират, че в секция „Лични данни и мерки срещу изпиране на пари“ е поместена ясна и подробна информация за всички основания, въз основа, на които дружеството е задължено лице по ЗМИП и администратор по Регламент (ЕС) 2016/679. Също така подробна информация под формата на Уведомление по чл. 14 от Регламент (ЕС) 2016/679 се изпраща по всеки новопридобит кредит, за да може лицето да бъде запознато с правата си за обработка на личните му данни. Изпращат се и нарочни смс-и с посочен в тях линк към цитираната по-горе уеб страница на дружеството.

Всички тези действия и процеси, които са част от политиката на дружеството да извършва напълно законосъобразно дейността си, както и внедрените технически и организационни мерки за защита на личните данни, показват, че са предприети и организирани по възможно най-добър и публичен начин всички мерки за пълна и цялостна защита на личните данни на задължените лица, така както изисква от всеки отговорен администратор по Регламент (ЕС) 2016/679.

 VI. Мерки за регулиране на достъпа до данните в НБДН, Справка родственост през информационната система – RegiX.

От дружеството посочват, че в Решението си за ограничаване на достъпа, Комисията изразява опасението, че „НБД  Население“ съдържа голям обем от лични данни на физическите лица, които в пълен обем обаче са неотносими към целите, за които е необходимо обработване на лични данни в процеса по изпълнение на задълженията по ЗМИП“. На сайта на RegiX – RegiX – Информационно приложение – Операция (egov.bg), е предоставена възможност консуматорите на информационната система да се запознаят с данните, които се генерират при извършването на Справка за родственост. При генерирането на резултатите се визуализират данни за:

1) съпруг/съпруга;

2) низходящи роднини от първа степен;

3) възходящи роднини от първа  степен, както и

4) роднини по съребрена линия от втора степен.

Така изброеният кръг от лица напълно съвпада с изброените в чл. 36, ал. 5 от ЗМИП лица, които съставляват категорията „свързани лица“.

Получаването на повече от посочените данни е ненужно и неоснователно, а също така би било в противоречие с един от основните принципи на Регламент (ЕС) 2016/679 — „свеждане на данните до минимум“. Дружеството няма интерес да получава повече данни, отколкото са необходими за изпълнението на своите законови задължения. Достъпът до Справка за родственост, предоставена чрез информационната система RegiX предоставя техническа възможност дружеството да получава обемът от данни, които съвпада с посочения в ЗМИП, без да получава повече данни от необходимото.

От дружеството считат, на база практическия си опит от предоставени до момента достъпи до регистри, че механизмът и логиката на извършване на справки в средата за междурегистров обмен — RegiX е съвсем различна от така изложеното тълкувание на КЗЛД. За да е възможно да бъде направена справка за дадено физическо лице е необходимо извършващият справката да разполага с определени негови данни, като например ЕГН, имена, номер на документ за самоличност, дата на раждане и др., специфични за всяка отделна справка и в зависимост от вида и характера на самите справки, изначално зададени като формат от самия ПАД. Т.е. необходими са определени входни данни, с които потребителят, извършващ справки трябва да разполага, за да може да бъде идентифицирано лицето, за което ще се извърши справка и едва тогава такава може да бъде направена. Всички тези данни, които са необходими, цесионерът може да получава само за длъжниците, чиито вземания придобива по силата на договора за цесия. Тези входни данни са изначално дефинирани от самия ПАД – в случая МРРБ, като в отговор на така подадените към нея данни през RegiX, дружеството би получило данни единствено и само, които са необходими за изпълнението на задължението си по чл. 42 от  ЗМИП, но не и достъп до всички данни за ФЛ, с които МРРБ разполага. Дефинирани от МРРБ са също така и данните, които дружеството би получило, т.е. и подаваната, и получаваната информация са в границите на предефинираното от самия ПАД. Отказвайки достъп на база горните аргументи, се отрича вече създаденият и утвърден механизъм за контролиран селективен достъп посредством RegiX.

Предвид предаването, на основание чл. 99, ал. 3 от ЗЗД, на идентификационни документи по кредитното досие, дружеството получава и напълно законосъобразно обработва определена информация и категории данни на основание изпълнение на сключен договор и легитимен интерес само за тези физически лица, срещу които има вземане за събиране. В този смисъл дружеството не би имало нито интерес, нито възможност да извършва справки за физически лица, освен тези които са му длъжници, тъй като няма правен интерес, а освен това и не разполага с необходимите данни и информация за извършване на справки в регистъра на МРРБ. В този смисъл аргументът на КЗЛД, че бихме имали достъп до голям обем от лични данни на физическите лица, а не само до нашите длъжници е неверен, некоректен и напълно несъстоятелен, тъй като поради липсата на изискуемата входна информация за направата на справка, а именно най-често ЕГН, ние няма как да направим тази справка за други лица освен за длъжниците си.

От дружеството подкрепят аргументите си с преглед на техническите файлове на уеб портала на RegiX, които са видни на приложени към искането снимки.

Относно мерки за осъществяване на контрол над достъпа и работата с информационната система – RegiX, от дружеството молят КЗЛД да има предвид следното:

Досежно изразените притеснения, че ще бъде извършван масов, безконтролен и нерегламентиран достъп до цялата база данни:

Съгласно ОУ на RegiX — чл. 14. (1) Лицата по чл. 2, ал. 1, т. 1 поддържат електронен журнал, в който за всеки достъп регистрират минимум: Данни за лицето, изпълнило заявката; номер на преписка; правно основание за достъп до справката; време (дата и час) на достъпа; информация, която позволява да се идентифицират данните, до които е осъществен достъпа (регистър, справка, идентификатор на проверяваното физическо или юридическо лице).

(2) Лицата по чл. 2, ал. 1, т. 1, които ползват услуги за достъп до лични данни, са длъжни за нуждите на одита по раздел VI, при поискване от ПАД, в срок до 5 работни дни или друг определен от ПАД срок да предоставят пълна извадка от журнала за съответен период или извадка по списък от идентификатори на изпълнени заявки.

От тази разпоредба става ясно, че е налице строг и контролиран достъп до регистрите и базата данни, която се съдържа в тях, който достъп е проследим ясно и следователно няма предпоставки за неконтролируем достъп, който би довел до груби нарушения и съответни санкции. В допълнение на сайта на RegiX – RegiX – Информационно приложение – Ръководства и инструкции (egov.bg) изрично е посочено, че подадената от консуматорите информация за всяка заявка за справка се съхранява централно в логовете на ядрото на RegiX и локално в логовете на адаптера за достъп до съответния регистър в инфраструктурата на Първичния администратор на данни. От това следва, че както МЕУ, така и ПАД-ът разполагат с необходимата информация, която съставлява съдържанието на електронния журнал, посочен в чл. 14, ал. 1 от Общите условия. Във връзка с изложеното, става ясно, че всяко действие на потребителите, които разполагат с определена информация за лицето, за което се извършва справката през RegiX, и всяка направена справка, са записани и не могат да бъдат променяни своеволно и безпроблемно, което дава необходимата правна и техническа сигурност, че всяка направена справка е проследима и може да бъде проверена от съответния контролен и/или надзорен орган.

От друга страна чл. 13, ал. 3 от ОУ на RegiX предвижда, че, при нерегламентирано използване на информация, получена от заявената услуга, извън обхвата на декларираните в заявлението нормативни основания, потребителите на операции за достъп до регистри и конкретните служители носят отговорност съгласно действащото законодателство. А също така в чл. 26 и чл. 27 предвижда възможността за проверка от ПАД-а или съвместно от ПАД-а и МЕУ при съмнение за необоснован достъп, като след извършен одит и установяване на системни нарушения на изискванията за обмен на данни, правото на достъп може да бъде преустановено, а техническата свързаност — спряна.

По-нататък в писмото си от дружеството посочват, че правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Получената и обменена информация между RegiX и заявителя ще се обработва от администратора на лични данни именно на основание законово задължение, (чл. 6, пар. 1, б. „в“ от Регламент (ЕС) 2016/679), тъй като дружеството е задължено лице по ЗМИП, а в чл. 42 във връзка с чл. 36 от ЗМИП е предвидено задължение за разработване на ефективна вътрешна система, която да позволява установяването качеството ВПЛ/СЛВПЛ на своите длъжници. Дружеството като организация, предоставяща обществени услуги, законосъобразно и добросъвестно, и в съответствие със строгите задължения и принципи, мерки за съхраняване опазва и обработва личните данни на своите длъжници, като зачита правата и интересите на субектите на данни, възложени от Регламент (ЕС) 2016/679.

Обществената значимост на извършването на Справка за родственост се потвърждава от изричното становище на ДАНС относно ангажираността на колекторските компании задължени лица по ЗМИП в процеса по идентифициране на физическите лица длъжници. Законодателството за превенция на изпирането на пари и финансирането на тероризъм е дефинитивно насочено към ангажиране на всички участници във финансовата система за предотвратяване на използването ѝ за изпиране на пари. Колекторските дружества не са изключени от тази верига от участници във финансовата система и те, както и кредитиращите организации, имат същите задължения за съдействие на компетентните надзорни институции, в това число докладване, при наличие на предвидените в ЗМИП предпоставки, при съмнение и/или узнаване за изпиране на пари и/или за наличие на средства с престъпен произход. За тях ЗМИП предвижда и същата административно наказателна отговорност, в случай на неизпълнение на задължението за комплексна проверка. Това е така и защото, както и останалите участници във финансовата система, на колекторското дружество, поради естеството на извършваната от него по занятие дейност, може да му бъдат предложени за погасяване средства, които са с престъпен произход. Въпреки затруднения директен контакт с длъжниците по цедираните вземания, в съответствие с предоставеното от ДАНС тълкуване на ЗМИП, на колекторските дружества е възложена роля за идентифициране на длъжника в не по-малка степен от тази на кредитиращите дружества.

Предвид изложеното дотук, от дружеството считат че и спрямо данните, съдържащи се в исканата с цитираното заявление справка, са приложими подробно аргументираните от Съда в Решение № 1091/22.02.2022 г. по адм. дело № 1549/2021 г. на Административен съд – София-град, доводи за необходимостта от предоставяне на директен достъп до исканата Справка.

Правен анализ:

Съгласно чл. 106, ал. 1, т. 3, пр. 3 от Закона за гражданската регистрация (ЗГР) КЗЛД е компетентна да разрешава предоставянето на данни от ЕСГРАОН, а не достъп до въпросната система. Разбирането на КЗЛД и в конкретния случай е, че следва да се предоставят конкретни данни за конкретни лица, по конкретни искания при наличието на конкретни основания, а не всеобщ и неизбирателен директен достъп до Национална база данни „Население“. Този подход отговаря на изискванията за спазване на основните принципи, прогласени с чл. 5 от Регламент (ЕС) 2016/679, а именно – необходимост, пропорционалност, ограничение на целите и свеждане на данните до минимум.

Принципно положение е, че исканията за разкриване на лични данни следва да са обосновани и да засягат само отделни случаи, да не се отнасят до целия регистър с лични данни. Всяко общо и неизбирателно достъпване на лични данни би било в противоречие с действащото законодателство в тази област.

Независимо от това, в определени случаи е допустим достъп до данните в Национална база данни „Население“. Например с оглед специфичната функция на нотариуса, като лице, на което държавата възлага извършване на предвидените в законите нотариални действия, същият има право на достъп до въпросната база данни. Законодателят е предвидил това да е разписано изрично в чл. 19, ал. 2 от Закона за нотариусите и нотариалната дейност (ЗННД), като се осъществява при условията на Наредба за достъпа на нотариусите до Националната база данни „Население“, поддържана от Министерството на регионалното развитие и благоустройството. Въпреки това, този достъп също е ограничен до данните на конкретно лице, за което е направена справката.

Правната уредба по отношение предоставянето на данни от ЕСГРАОН, която се прилага за една небанкова финансова институция, вписана в регистъра на БНБ за финансовите институции по чл. 3а, ал. 1 от Закона за кредитните институции (ЗКИ), която също така е и задължен субект по чл. 4, т. 3 от Закона за мерките срещу изпирането на пари (ЗМИП), не съдържа изричен текст, който да ги оправомощава да достъпват именно Националната база данни „Население“. От текста на чл. 42, ал. 2, т. 3 от ЗМИП, който гласи „информация, получена чрез използването на вътрешни или външни бази от данни“, не може да се направи заключение, че се налага директен достъп до данните в Национална база данни „Население“. Такъв извод не може да се направи и от Насоките на ДАНС за идентифициране на видни политически личности, свързаните им лица и установяване на произхода на средствата и източника на богатствата им.

Следва да се отбележи също така, че нито чл. 42, ал. 2, т. 3 от ЗМИП, нито Насоките на ДАНС за идентифициране на видни политически личности, свързаните им лица и установяване на произхода на средствата и източника на богатствата им посочват начина, по който, в рамките на изискването за законосъобразност, технически следва да се придобие въпросната информация. Нещо повече, никъде в Наредба № РД-02-20-9 от 21 май 2012 г. за функциониране на Единната система за гражданска регистрация не се употребява понятието „директен“ или негови производни. Напротив, достъпът, който се регламентира с нея, може да се осъществи чрез програмен интерфейс, както и с други мерки и средства за защита. Т.е. той винаги е опосредстван и контролиран, напр. чрез RegiX. В този смисъл директен достъп до Национална база данни „Население“ е недопустим.

Доколкото предоставянето на данни обаче е предпоставка за изпълнение на конкретни задължения, произтичащи от закон, въпросните институции имат право да получат необходимата информация от Национална база данни „Население“, но при условията на конкретни заявки, за конкретни лица при наличието на правно основание. Няма пречка тези заявки да се изпращат чрез средата за междурегистров обмен RegiX, което позволява предоставянето на данни от първичния администратор да се извършва чрез автоматизирана справка по заявените критерии при спазване на принципите, прогласени в чл. 5 от Регламент (ЕС) 2016/679.

В същия дух е и новата разпоредба на чл. 106, ал. 6 от ЗГР (ДВ, бр. 80 от 2023 г., в сила от 19.09.2023 г.), според която данните от ЕСГРАОН, налични в електронен вид, се предоставят безвъзмездно на доставчиците на електронни административни услуги като вътрешна електронна административна услуга по реда на Закона за електронното управление. В тази връзка следва да се обърне внимание и на понятията:

• чл. 9, ал. 1 от ЗЕУ: „Доставчик на електронни административни услуги“ е административен орган, лице, осъществяващо публични функции, или организация, предоставяща обществени услуги, които предоставят електронни административни услуги на гражданите и организациите в рамките на своята компетентност.
• § 1, т. 1 от ДР от ЗЕУ във връзка с § 1, т. 1 от ДР на АПК: „Административен орган“ е органът, който принадлежи към системата на изпълнителната власт, както и всеки носител на административни правомощия, овластен въз основа на закон, включително лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги.
• § 1, т. 2 от ДР на ЗЕУ: „Административна услуга“ е:

а) издаването на индивидуални административни актове, с които се удостоверяват факти с правно значение;

б) издаването на индивидуални административни актове, с които се признава или отрича съществуването на права или задължения;

в) извършването на други административни действия, които представляват законен интерес за физическо или юридическо лице;

г) консултациите, представляващи законен интерес за физическо или юридическо лице относно административно-правен режим, които се дават по силата на нормативен акт или които са свързани с издаване на административен акт или с извършване на друга административна услуга;

д) експертизите, представляващи законен интерес за физическо или юридическо лице, когато нормативен акт предвижда тяхното извършване като задължения на администрацията на държавен орган или от овластена организация.

• § 1, т. 3 от ДР на ЗЕУ: „Вътрешна административна услуга“ е административна услуга, която един административен орган предоставя на друг за осъществяване на неговите правомощия.
• § 1, т. 12 от ДР на ЗЕУ: „Обществени услуги“ са образователни, здравни, водоснабдителни, канализационни, топлоснабдителни, електроснабдителни, газоснабдителни, телекомуникационни, пощенски, банкови, финансови в т. ч. застрахователни и удостоверителни по смисъла на Регламент (ЕС) № 910/2014 или други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност, по повод на чието предоставяне могат да се извършват административни услуги.
• § 1, т. 14 от ДР на ЗЕУ: „Организация, предоставяща обществени услуги“ е всяка организация независимо от правната форма на учредяването ѝ, която предоставя една или повече услуги по т. 12.

При така изложените нови правни разпоредби, с които се насърчава развитието на дигитализацията и електронното управление, може да се направи обосновано предположение, че организациите, предоставящи обществени услуги, каквито са доставчиците на финансови услуги (кредитни институции, колекторски фирми и т.н.) в рамките на своята дейност могат да получават данни от ЕСГРАОН, налични в електронен вид при наличието на правно основание за това. В тази нова специална хипотеза не е необходимо разрешението на КЗЛД.

В този смисъл, всяка небанкова финансова институция, като задължен субект по чл. 4, т. 3 от Закона за мерките срещу изпирането на пари (ЗМИП), може да получава чрез средата за междурегистров обмен RegiX автоматизирано „Справка за родственост“ за целите на чл. 42 във вр. с чл. 36 от ЗМИП, въз основа на конкретна заявка, за конкретно лице и при наличието на правно основание. Директното, общо, неизбирателно и безотчетно достъпване на лични данни в целия регистър Национална база данни „Население“ или до всички категории данни за едно лице, противоречи на принципите на законодателството за защита на данните и не е допустимо да се разрешава. Следва да се има предвид и, че съгласно новата разпоредба на чл. 106, ал. 6 от ЗГР, организациите, предоставящи обществени услуги, каквито са доставчиците на финансови услуги (кредитни институции, колекторски фирми и т.н.), в рамките на своята дейност могат да получават данни от ЕСГРАОН, налични в електронен вид при правно основание за това. В тази нова специална хипотеза не е необходимо разрешението на КЗЛД.

Като ПАД от Национална база данни „Население“, МРРБ следва да предоставя данните автоматизирано чрез средата за междурегистров обмен RegiX (не директно!), като спазва всички изисквания за защита на данните по смисъла на Регламент (ЕС) 2016/679. Това включва задължението на ПАД да следи за наличието на правното основание на искащата организация и спазването на принципите за обработването на лични данни, както и да извършва преценка дали и в какъв обем да предостави данни.

По тези съображения и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

Въпреки промените в чл. 42 от ЗМИП (с ДВ, бр. 84 от 2023 г.) КЗЛД счита, че не е налице основание да преразгледа свое Решение рег. № ПНМД-01-29#10/14.12.2021 г., по силата на което дружеството може да получава автоматизирано данните от „Справка за родственост“ посредством средата за междурегистров обмен на данни RegiX въз основа на конкретна заявка, за конкретно лице и при наличието на правно основание, а не директен, общ, неизбирателен и безотчетен достъп до лични данни в целия регистър Национална база данни „Население“.