Становище на КЛЗД относно искане от главния директор на Главна дирекция „Гражданска регистрация и административно обслужване“ (ГРАО) при Министерство на регионалното развитие и благоустройство във връзка с приложението на Закона за защита на личните

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 24 април 2013г. (Протокол №14), разгледа искане за становище с вх.№П-1990/ 26.03.2013г. от г-н И.Г.- Главен директор на Главна дирекция „Гражданска регистрация и административно обслужване" (ГРАО) при Министерство на регионалното развитие и благоустройство във връзка с приложението на Закона за защита на личните данни.

Получено е искане за становище с вх.№П-1990/26.03.2013г. от г-н И.Г. -Главен директор на Главна дирекция „Гражданска регистрация и административно обслужване" (ГРАО) при Министерство на регионалното развитие и благоустройство относно възможността за предоставяне на данни от Регистъра на населението, поддържан на национално ниво- Национална база данни „Население" на „ДЗИ-Ж." ЕАД (ДЗИ). В Главна дирекция "Гражданска регистрация и административно обслужване" при Министерство на регионалното развитие и благоустройството. В искането е посочено, че в ГРАО е постъпило писмо от „ДЗИ-Ж." ЕАД, с което дружеството информира, че голяма част от техните клиенти, които имат сключена пенсионна застраховка и следва да получават месечна пенсия, не са предявили претенции в офисите на ДЗИ. Същевременно дружеството не разполага с данни дали лицата са живи или починали, както и с техни актуални адреси. В тази връзка е отправено запитване от страна на ДЗИ относно възможността от Регистъра на населението, поддържан на национално ниво- Национална база данни „Население" да се предоставят данни за застрахованите в ДЗИ физически лица (около 4 000 лица) относно статус „жив или „починал и след актуализиране на списъка с тези лица, да се предоставят данни за постоянните и настоящи адреси само на живите лица.

В искането е посочено, че във връзка с изложеното до тук и с цел създаване на законосъобразна практика (като в искането е изразено мнение, че ГРАО допуска и за в бъдеще този въпрос ще бъде поставян и от други застрахователни дружества) е отправена молба до КЗЛД за становище, на основание чл.10, ал.1, т.4 от ЗЗЛД, относно следното:

Законосъобразно ли би било предоставянето на данни от Регистъра на населението, поддържан на национално ниво- Национална база данни „Население" на основание чл.4, ал.1, т.3 от Закона за защита на личните данни, съгласно който обработване се допуска, ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, а видно от изложеното в искането на „ДЗИ-Ж." ЕАД физическите лица са клиенти на дружеството и имат сключена пенсионна застраховка.

Към така постъпилото искането за становище е приложено копие от постъпилото към ГРАО запитване от „ДЗИ-Ж." ЕАД.

Постъпилото към ГРАО запитване от „ДЗИ-Ж." ЕАД касае възможността за предоставяне на информация за физически лица във връзка с портфейла от пенсионни застраховки, обслужван от „ДЗИ-Ж." ЕАД.

„ДЗИ-Ж." ЕАД е посочило, че голяма част от клиентите на Дружеството, които имат сключена пенсионна застраховка и имат право да получават месечна пенсия, не са предявили претенции в офисите на ДЗИ. Същевременно за „ДЗИ-Ж." ЕАД липсват данни за това, дали тези лица са живи или починали, както също и, че дружеството не разполага с актуализирани данни относно техните адреси и телефони за връзка. В тази връзка е и отправената молба до ГРАО за информация относно това каква е процедурата за извършване на проверка на застрахованите в ДЗИ физически лица, с цел получаване на информация от техните лични електронни регистрационни картони, като е уточнено, че проверката ще протече на 2 етапа:

I етап: проверка на физически лица по списък и предоставяне на данни относно статус живи или починали (около 4,000 лица);

II етап: проверка на физически лица по актуализиран списък и предоставяне на
данни относно постоянен и настоящ адрес.

Поискана е и информация от ГРАО относно това какъв обем данни следва да предостави за осъществяване на проверката „ДЗИ-Ж." ЕАД (три имена и ЕГН на физическите лица), както и какви са дължимите такси за всеки етап от проверката и респективно предоставената от ГРАО информация.

При така представената фактическа обстановка казуса бе разгледан на редовно заседание на комисията проведено на 03.04.2013г. (Протокол №12) на което Комисията реши да се изиска в 7-дневен срок информация от ДЗИ относно настоящия казус. В тази връзка бе отправено писмо per. №П-2314/04.04.2013г. до „ДЗИ-Ж." ЕАД с искане за становище и информация. В рамките на предоставения им 7-дневен срок от страна на „ДЗИ-Ж." ЕАД бе получен отговор с per. №П-2614/ 16.04.2013г., в който е посочено че дружеството е с 65-годишна история в развитието на застрахователния бизнес в България и в тази връзка, в неговия портфейл все още съществуват активни застрахователни договори, сключени през 90-те години на миналия век. Посочено е също, че голяма част от тези полици са пенсионни застраховки, чиято цел е била да осигури на клиентите изплащането на регулярна пенсия след навършването на определена възраст. При сключването на застраховката, клиентът определя период, в рамките на който заплаща премия, дефинирана на базата на желания от него размер на месечната пенсия. След края на периода клиента започва да получава договореното плащане, което обикновено е пожизнено. В тази връзка в отговора на дружеството е уточнено, че към 31.12.2012г. пенсионния портфейл на ДЗИ се състои от 4 638 полици, от които над 3 500 са в срок на получаване на договорената пенсия, като за част от тези клиенти дружеството няма актуални взаимоотношения и респективно не е в състояние да изпълни поетите договорни ангажименти по сключените застрахователни договори.

С оглед изложения проблем „ДЗИ-Ж." ЕАД ни уведомява, че в началото на 2013г. е започнало кампания за идентифициране на клиентите с право на получаване на пенсия, с оглед изплащане на дължимите суми с цел изпълнение на задължения по договор по който физическото лице е страна. Във тази връзка, в сътрудничество с всички агенции и офиси на дружеството, е извършена щателна проверка на базите данни, архивите и досиетата, като събраната информация е била обработена и изпратена към централизирано звено, което да обобщи и анализира съществуващите данни. В получения отговор „ДЗИ-Ж." ЕАД посочва, че след обобщаване на наличните данни и извършения анализ се е установило, че дружеството не разполага с актуални адреси за голяма част от клиентите си по пенсионни застраховки, както и че в допълнение, не е известен статуса им- живи или починали. Посочено е, че „ДЗИ-Ж." ЕАД е компания с традиции в застрахователния бизнес, която винаги е демонстрирала лоялност, коректност и почтеност към клиентите си, и съобразно това е приело като приоритетна задача да идентифицира всички свои клиенти, които към днешна дата имат право да получават определената в застрахователния им договор месечна пенсия, да осъществи контакт с тях и да инициира изплащане на дължимите пенсии, които са провизирани.

Еднолично акционерно дружество „ДЗИ-Ж." ЕАД, с ЕИК 121518328, със седалище и адрес на управление: гр. София, район Средец, п.код 1000, бул. ..Цар Освободител" №6 и с предмет на дейност: Застраховане на лица срещу събития, свързани с живота, здравето или телесната цялост чрез извършване на: 1.застраховки "живот", свързани или не с инвестиционен фонд; 2.женитбена и детска застраховка, свързана или не с инвестиционен фонд; 3.пенсионни застраховки, свързани или не с инвестиционен фонд; 4.здравни застраховки, свързани или не с инвестиционен фонд; 5.допълнителни застраховки, свързани или не с инвестиционен фонд; презастраховане на застрахователи, извършващи застраховките по т.1,2,3,4 и 5; задължително застраховане в предвидените от закона случаи; управление на набраните от застраховането и презастраховането средства; инвестиране на застрахователните резерви и собствените средства, съгласно закона за застраховането.

„ДЗИ-Ж." ЕАД е администратор на лични данни и като такъв е подал заявление №1262, дата на потвърждаване 23.02.20Юг., вписан е в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД под идн. №425, като към датата на служебната справка- 29.03.2013г. е в статус „за редакция". Администраторът на лични данни- „ДЗИ-Ж." ЕАД е заявил поддържането на три броя регистри, както следва: регистър „Застрахователни полици -животозастраховане"; регистър „Управление на човешките ресурси" и регистър „Видеонаблюдение".

Застраховането е дейност по осигуряване на застрахователно покритие на рискове по силата на договор, изразяващо се в набиране и разходване на средства, предназначени за изплащане на обезщетения и други парични суми при настъпване на събития или сбъдване на условия, предвидени в договор или в закон, както и в пряко свързаните с това дейности. Съгласно легалната дефиниция на договора за застраховка, посочена в чл.183 Кодекса за застраховането (КЗ), застрахователят се задължава да поеме определен риск срещу плащане на премия и при настъпване на застрахователното събитие да заплати на застрахования или трето ползващо се лице застрахователно обезщетение или парична сума. Съгласно чл.186 от Кодекса за застраховането (КЗ) Общите условия на застрахователя, установени отнапред за сключването на определен вид застраховка, обвързват застрахования, ако са му били предадени при сключването на застрахователния договор и той е заявил писмено, че ги приема. Приетите от застрахования общи условия са неразделна част от застрахователния договор. При несъответствие между застрахователния договор и общите условия има сила уговореното в договора. Предмет на насрещните престации на страните по договора (застрахования и застрахователя) са съответно заплащане на дължимата застрахователна премия срещу поемане на риска от настъпване на определеното вредоносно събитие. Застрахователна сума е договорената или определената с нормативен акт и посочена в застрахователния договор парична сума, представляваща горна граница на отговорността на застрахователя (§ 1, т.5 ДР КЗ).

Пенсионните застраховки са спестовни застраховки. Същността им се свежда до предоставяне на средства от застрахования под формата на еднократно или периодично дължима сума срещу задължението на застрахователя да обезпечи плащане на определената в договора или съответно увеличена съобразно акумулирани през годината средства сума. Пенсионното застраховане се разглежда като подвид на рентните застраховки или по-точно рентна застраховка в случай на преживяване. Под рента се разбира периодически повтарящо се плащане на предварително определена сума. Целта на застраховането за рента е да защитят интересите на застрахованите, свързани с живота, трудоспособността и пенсионното осигуряване. Застрахователният договор при пенсионната застраховка е насочен към осигуряване на определен жизнен стандарт след навършване на определена възраст или други обстоятелства. Съгласно чл.230а от КЗ с договора за застраховка за пенсия или рента застрахователят се задължава да прави пожизнени или срочни периоди периодични плащания срещу заплащането на еднократна или периодична премия. Пенсионната застраховка осигурява на застрахования определена периодично дължима рента след изтичане на определен период от време от сключването на застрахователния договор или при навършване на определена възраст. Застрахователят може да поеме отговорност и за допълнителни рискове, например загуба на трудоспособност. Характерно за рентните застраховки е отсроченото плащане на рентите. През време на отсрочката застрахованият дължи застрахователна премия, която е фиксирана и се плаща периодично или еднократно. След изтичане на отсрочката застрахованият има право на рентните плащания. През време на отсрочката, при определени условия, застрахованият може да откупи застраховката или по-точно премийните й резерви. При смърт на застрахования по време на отсрочката договорът се прекратява и на наследниците се връщат внесените застрахователни премии, намалени със съответните административни разноски. Ако смъртта настъпи след края на отсрочката, договорът и рентата се прекратяват. Рентната застраховка има два отделни периода. Първият се нарича срок на отсрочка,презкойто се инвестират натрупаните средства от застрахователни премии. Вторият период, през който рентата се получава, може да бъде пожизнен или с определен срок. През срока за получаване на рентата върху средствата на застрахования се натрупва допълнителна лихва, както през периода на отсрочката. Съществуват различни видове рентни застраховки: според срока, за който се сключват те могат да бъдат: срочни- рентата се плаща определен брой години или доживотни- плаща се до смъртта на застрахования; според обекта на застраховане: индивидуални- застраховка на едно лице, групови- застраховката се сключва на група лица по поименен списък или по средносписъчен състав или съвместни- предимно семейни застраховки на двама съпрузи или на родител и дете и др.

Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН) е национална система за гражданска регистрация на физическите лица в Република България и източник на лични данни за тях (чл. 100 Закон за гражданската регистрация). Методическото ръководство и контролът на дейностите, свързани с гражданското състояние, гражданската регистрация и автоматизираните информационни фондове, се осъществяват от Министерството на регионалното развитие и благоустройството със съдействието на Министерството на правосъдието и Комисията за защита на личните данни (чл. 113 от Закона за гражданската регистрация). С оглед на гореизложеното следва да се посочи, че министърът на регионалното развитие и благоустройството е администратор на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД. Като такъв, той е длъжен да предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Във всички случаи на осъществяване на действия по предоставяне на данни от регистрите на населението или от регистрите на актовете за гражданско състояние, същите съставляват действия по обработване на лични данни по смисъла на легалната дефиниция, посочена в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

По смисъла на § 1, т.5 от Допълнителните разпоредби на ЗЗЛД, "предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея и съставлява обработване на лични данни по смисъла на закона.

По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл.4 от ЗЗЛД, според който обработването на лични данни се допуска, когато е налице поне едно от изчерпателно изброените и дадени алтернативно в закона условия за допустимост, а именно:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2.физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3.обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4.обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5.обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6.обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7.обработването е необходимо за реализиране на законните интереси на
администратора на лични данни или на трето лице, на което се разкриват данните,
освен когато пред тези интереси преимущество имат интересите на физическото лице,
за което се отнасят данните.

Достатъчно е наличието на поне едно от горепосочените и дадени алтернативно в закона основания, за да е налице допустимо и законосъобразно обработване на лични данни. В конкретния казус, съгласно изложеното до тук, следва извода, че по отношение на обработване на лични данни на физически лица- сключили договори за пенсионна осигуровка с „ДЗИ-Ж." ЕАД е налице условие за допустимост визирано в чл.4, ал.1, т.3 от ЗЗЛД, т.е. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна. Доказателствената тежест по отношение на наличие на условие за допустимост на обработването на лични данни във всеки конкретен случай е на администратора искащ съответния обем информация- „ДЗИ-Ж." ЕАД, като преценката по отношение на неговото наличие за всеки един конкретен случай е на администратора предоставящ данните- Министерство на регионалното развитие и благоустройство, Главна дирекция „Гражданска регистрация и административно обслужване". Също така администраторите на лични данни следва да обработва същите при съблюдаване и спазване на принципите за законосъобразност, пропорционалност и целесъобразност на обработваните данни (чл. 2, ал.2 от ЗЗЛД).

Правото на защитата на физическите лица от злоупотреби с личната им информация и неправомерна намеса в техния личен живот се гарантира от горепосочените принципи, които са в основата на действащото законодателство, регулиращо обществените отношения в сферата на защитата на личните данни. За да е налице добросъвестно обработване, администраторът на лични данни следва предварително да е уведомил точно и правилно физическото лице за целите на обработката, като не използва данните за цели, различни от обявените. Обработването трябва да е законосъобразно, т.е. администраторът на лични данни трябва да съблюдава всички разпоредби на законите и подзаконовите актове, свързани със защитата на личните данни и да действа в рамките на притежаваните, съгласно тях, правомощия. Друго основно правило е, че данните следва да бъдат пропорционални и да съответстват адекватно на целите, за които се обработват, т.е. предоставеният от ГРАО обем данни следва да бъде съотносим и ненадхвърлящ целта, за която данните са необходими, а именно изпълнение поетите от дружеството задължения, по сключени договори за пенсионни застраховки. Администраторът на лични данни трябва да обработва само минимално необходимото количество информация за всяко физическо лице, нужно за целите на обработването, като допълнителни данни за лицето могат да се записват само когато събраната вече информация е недостатъчна за постигането на обявените цели. В противен случай допълнителната информация ще бъде "прекомерна" за нуждите на обработването и поради това не трябва да бъде съхранявана. В конкретния казус може да се обективира извода, че поисканата информация относно статус на физическите лица живи или починали и данни относно постоянен и настоящ адрес са съотносими на целта, за която се искат от „ДЗИ-Ж." ЕАД, а именно изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна.

Едновременно с наличието на условие за допустимост и спазване на принципите за обработване на лични данни, администраторът следва да изпълни и задълженията си, произтичащи от разпоредбата чл.20 от ЗЗЛД, съгласно които администраторът на лични данни е задължен да предостави на физическото лице, чиито данни обработва, следната информация: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; категориите лични данни, отнасящи се до съответното физическо лице; получателите или категориите получатели, на които могат да бъдат разкрити данните; информация за правото на достъп и правото на коригиране на събраните данни.

Информацията по чл.20 от ЗЗЛД, както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят, като тази преценката се извършва от администратора за всеки конкретен случай.

„ДЗИ-Ж." ЕАД, в качеството си на администратор на лични данни, след постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни, е длъжен да ги: унищожи, или прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.

Относно изразеното в искането желание от страна на Министерство на регионалното развитие и благоустройство Главна дирекция „Гражданска регистрация и административно обслужване" за създаване на законосъобразна практика по така поставения казус и изразеното предположение, че и за в бъдеще този въпрос ще бъде поставян и от други застрахователни дружества, е важно да се има предвид, че Комисията разглежда всеки казус по който е сезирана самостоятелно и в неговата цялост, като взима под внимание всички съотносими обстоятелства и факти специфични за всеки конкретен случай.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни да изрази следното

Обработването на лични данни чрез тяхното предоставяне от страна на Министерство на регионалното развитие и благоустройство, Главна дирекция „Гражданска регистрация и административно обслужване" и касаещи информация относно статуса живи или починали, както и данни относно постоянен и настоящ адрес на физически лица сключили договори за пенсионна застраховка с „ДЗИ-Ж." ЕАД, които не са предявили претенции в офисите на дружеството, а съгласно сключените от тях договори им се дължи месечна пенсия ще бъде допустимо на основание в чл.4, ал.1, т.3 от ЗЗЛД.

Обработването на лични данни следва да се осъществява при спазване на принципите на законосъобразност, целесъобразност и пропорционалност, съгласно чл.2, ал.2 от ЗЗЛД.

Предоставянето на лични данни от страна на администратора на лични данни -Министерство на регионалното развитие и благоустройство, Главна дирекция „Гражданска регистрация и административно обслужване", следва да се предхожда от преценка, за всеки конкретен случай, за наличие на условие за допустимост за необходимостта от предоставянето, с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят, и гарантиране на неприкосновеността на личността и личния живот.

След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът- „ДЗИ-Ж." ЕАД е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.