Становище на КЛЗД относно искане от председателя на Комисията по финансов надзор във връзка с приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 16 януари 2013г. (Протокол №1), разгледа искане за становище с вх.№П5071/05.10.2012г. от г-н С.М.- Председател на Комисията по финансов надзор във връзка с приложението на Закона за защита на личните данни.

Получено е искане за становище с вх.№П 5071/05.10.2012г. от г-н С.М.- Председател на Комисията по финансов надзор с отправен въпрос, относно това дали съхранението за срок от една година на подадени до пенсионно осигурително дружество заявления на осигурени лица, във връзка, с които не са сключени осигурителни договори и не са възникнали осигурителни правоотношения, е в противоречие със Закона за защита на личните данни.

Във връзка с така поставения въпрос, в искането е изложена следната фактическа обстановка, довела до възникване на настоящия казус, а именно:

Посочено- е, че Комисията за финансов надзор (КФН), при упражняване на надзорните си правомощията в областта на допълнителното пенсионно осигуряване, често среща проблем, свързан със съхранението от страна на пенсионно осигурителните дружества на заявления за участие и заявления за промяна на участие, подадени от осигурените лица. Изборът на фонд за допълнително задължително пенсионно осигуряване и промяната на участие и прехвърлянето на натрупаните по индивидуалната осигурителна партида средства се извършват въз основа на заявление за участие, съответно на заявление за промяна на участие/прехвърляне на средства, което осигуреното лице подава до пенсионно осигурителното дружество, в чийто фонд за допълнително пенсионно осигуряване желае да се осигурява. В повечето случаи лицата подават заявленията чрез осигурителен посредник, работещ по договор със съответното дружество, за което той получава възнаграждение. В искането е обърнато внимание, че през последните години се забелязва тревожната тенденция, осигурени лица да се оплакват, че от тяхно име, но без тяхно знание и съгласие е подадено заявление за участие или заявление за промяна на участие. В този случай КФН изисква обяснения и документи от съответното пенсионно осигурително дружество и осигурителния посредник, чрез който е подадено заявлението. В тази връзка е изтъкнато, че поради факта, че лицата се оплакват, че не са подписали такова заявление, КФН сигнализира компетентната прокуратура във връзка със съмнение за извършено документно престъпление. Посочено е, че в много случаи извършването на проверка от страна на разследващите органи се оказва невъзможно, тъй като пенсионно осигурителното дружество заявява, че със съответното осигурено лице не е сключен осигурителен договор и тъй като подаденото заявление е изпълнило целта, за която е обработено, то е унищожено като носител на лични данни и че поради тази причина като резултат извършителят на евентуалната фалшификация остава неразкрит. В `искането е отбелязано, че когато пенсионно осигурителното дружество унищожи заявлението за участие или заявлението за промяна на участие, то не заличава всички източници на лични данни за лицето, тъй като те остават във водените от всяко пенсионно осигурително дружество, на основание чл.6 от Наредба №33 на КФН и чл.20 от Наредба №3 на КФН, електронни регистри. По тази причина, КФН е препоръчала на пенсионно осигурителните дружества да изменят вътрешните си правила за съхранение на документи, като удължат срока за съхранение на заявленията за участие и на заявленията за промяна на участие, по които не са сключени осигурителни договори, до една година от приключване на съответната процедура за избор на фонд за допълнително задължително пенсионно осигуряване или за промяна на участие и прехвърляне на средствата. Посочено е, че повечето пенсионно осигурителни дружества са се съобразили с тази препоръка, но други считат, че тя противоречи на чл.25 от Закона за защита на личните данни. Във връзка с така изложената фактическа обстановка в искането Комисията за финансов надзор е изразила мнение, че съхранението на заявленията за участие и на заявленията за промяна на участие за срок от една година цели единствено защита на правата на осигурените лица от престъпни посегателства и че не следва правните механизми, които защитават едни права на лицата да се превръщат в пречка за защита на други техни права.

В искането са посочени и подзаконовите нормативни актове, които регламентират първоначалния избор на фонд за допълнително задължително пенсионно осигуряване и прехвърлянето на средствата на осигурените лица : Наредба №33 от 19.09.2006г. за индивидуалните заявления за участие във фонд за допълнително задължително пенсионно осигуряване (Наредба №33 на КФН) и Наредба №3 от 24.09.2003г. за реда и начина за промяна на участие и за прехвърляне на натрупаните средства на осигурено лице от един фонд за допълнително пенсионно осигуряване в друг съответен фонд, управляван от друго пенсионно осигурително дружество (Наредба №3 на КФН).

Правото на обществено осигуряване е основно право на гражданите на Република България, прогласено в чл.51, ал.1 от Конституцията. Към настоящия момент системата за пенсионно осигуряване в България е изградена на базата на тристълбов модел. По реда, установен от Кодекса за социално осигуряване (КСО), гражданите се осигуряват задължително при условията на държавно обществено осигуряване за старост и смърт, като след навършване на осигурителен стаж и възраст от набраните вноски във фонд "Пенсии" им се превеждат обезщетения под формата на пенсии. Освен това осигурените лица задължително внасят осигурителни вноски и при условията на допълнително задължително пенсионно осигуряване при старост и смърт, което представлява втория стълб от системата на пенсионното осигуряване. Третият елемент от тази структура е допълнителното доброволно пенсионно осигуряване при старост и смърт, при условията на което лицата се осигуряват по собствен избор. Допълнителното задължително и допълнителното доброволно пенсионно осигуряване се осъществяват чрез участие в универсални и/или професионални пенсионни фондове, както и във фондове за допълнително доброволно пенсионно осигуряване, които се учредяват и управляват от пенсионноосигурителни дружества (чл.120а КСО). Законовата уредба на допълнителното пенсионно осигуряване се съдържа в част втора на Кодекса за социално осигуряване. Участието във фонд за допълнително задължително пенсионно осигуряване става чрез подаване на индивидуално заявление в срок до три месеца от възникване на задължението за осигуряване или въз основа на служебно разпределение, начинът и редът на което се определя със съвместна инструкция на Комисията за финансов надзор и Националната агенция за приходите. Устройството, функциите и дейността на Комисията за финансов надзор (КФН) са уредени в Закона за Комисията за финансов надзор (ЗКФН). За конкретизиране на отделни аспекти на този закон Комисията за финансов надзор е приела редица подзаконови нормативни актове- наредби, както и практики и указания за неговото тълкуване и прилагане, в т.ч. и цитираните в искането Наредба №33 от 19.09.2006г. за индивидуалните заявления за участие във фонд за допълнително задължително пенсионно осигуряване (Наредба №33 на КФН) и Наредба №3 от 24.09.2003г. за реда и начина за промяна на участие и за прехвърляне на натрупаните средства на осигурено лице от един фонд за допълнително пенсионно осигуряване в друг съответен фонд, управляван от друго пенсионно осигурително дружество (Наредба №3 на КФН). В 3- месечен срок от възникването на задължението за осигуряване (сключване на първи трудов договор, започване на дейност като самостоятелно заето лице) физическото лице има право и е длъжно да изберете фонд за допълнително задължително пенсионно осигуряване, в който да постъпват неговите вноски. За да започне да се осигурява в него, е необходимо да подаде заявление за участие до пенсионно осигурителното дружество, което го управлява. Заявлението е по образец, утвърден с наредба на Комисията за финансов надзор. Заявлението може да се подаде в офис на пенсионно осигурителното дружество, чрез осигурителен посредник или като електронен документ, подписан с електронен подпис. След подаване на заявлението физическото лице сключва с пенсионно осигурителното дружество осигурителен договор. В качеството си на страна по договора то има право да получи екземпляр от него, както и от правилника за организацията и дейността на пенсионния фонд, в които са описани условията, при които ще се осигурява то.

Пенсионно осигурителните дружества и управляваните от тях фондове са отделни юридически лица, условие за съществуването на които е разрешаване на дейността им от Комисията за финансов надзор. За да могат да набират осигурителни вноски във фондове за допълнително пенсионно осигуряване, пенсионно осигурителните дружества трябва да притежават лицензни, издаването на които се осъществява при лицензионен режим по реда на КСО (чл.121, ал.1, чл.122, чл.1226 КСО). С оглед спецификата на осъществяваната от тях дейност пенсионно осигурителните дружества са и администратори на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД и като такива следва да подадат заявление за регистрация в Регистъра на администраторите на лични данни и водените от тях регистри при Комисията за защита на личните данни, като обявят поддържаните от тях регистри с лични данни. Към настоящия момент, съгласно официално изнесената от КФН информация, пенсионно осигурителните дружества, получили лиценз за осъществяване на дейност по допълнително задължително пенсионно осигуряване, са:

Пенсионно осигурителна компания „Доверие" АД, ЕИК 831190986;

Пенсионно осигурителна компания „Съгласие" АД, ЕИК 831284154;

Пенсионно осигурителна компания "ДСК- Родина" АД, ЕИК 121507164;

Пенсионно осигурителна компания "Алианц България" АД, ЕИК 121050885;

"Ай Ен Джи Пенсионно осигурително дружество" ЕАД, ЕИК 121708719;

Пенсионно осигурително Акционерно Дружество "ЦКБ-СИЛА", ЕИК 825240908;

Пенсионно осигурително дружество „БЪДЕЩЕ" АД, ЕИК 131125704;

Пенсионно осигурителна компания „Топлина" АД, ЕИК 175137918;

„Пенсионно осигурителен институт" АД, ЕИК, 200098313.

В качеството си на администратори на лични данни лицензираните девет пенсионно осигурителни дружества са подали заявление за регистрация като администратори на лични данни и са вписани в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД, както следва:

Пенсионно осигурителна компания „Доверие" АД, ЕИК 831190986- идн. №22874; заявен брой регистри- 12 (дванадесет), в т.ч. и: Регистър за заявленията за участие в универсален пенсионен фонд доверие; Регистър на заявления за участие в професионален пенсионен фонд доверие; Регистър на заявления за промяна на участието и за прехвърляне на средства от и в ППФ доверие и Регистър за заявление за промяна на участието и за прехвърляне на средства от и в универсален пенсионен фонд доверие. По отношение и на четирите регистъра дружеството е заявило, че за обработване на заявените по тези регистри данни срок за тяхното съхранение „няма";

Пенсионно осигурителна компания „Съгласие" АД, ЕИК 831284154- идн. №38905; заявен брой регистри- 13 (тринадесет), в т.ч. и: Регистър индивидуални заявления за участие в ППФ-съгласие; Регистър индивидуални заявления за участие в УПФ-съгласие; Регистър заявления за промяна на участие и прехвърляне на средства в ДПФ-съгласие и Регистър заявления за промяна на участие и прехвърляне на средства в УПФ-съгласие. По отношение и на четирите регистъра дружеството е заявило, че заявените по тези регистри данни се обработват „безсрочно";

Пенсионно осигурителна компания "ДСК- Родина" АД, ЕИК 121507164; идн. №54287; заявен брой регистри- 32 (тридесет и два), в т.ч. и: Регистър за промяна на участие по наредба 3 за УПФ; Регистър за промяна на участие по наредба 3 за ППФ; Регистър за промяна на участие по наредба 3 за ДПФ; Регистър за заявления за участие от новоосигурени лица по наредба 33 на КФН за УПФ и Регистър за заявления за участие от новоосигурени лица по наредба 33 на КФН за ППФ . По отношение и на четирите регистъра дружеството е заявило, че за обработване на заявените по тези регистри данни срок за тяхното съхранение „няма";

Пенсионно осигурителна компания "Алианц България" АД, ЕИК 121050885- идн. №26416; заявен брой регистри- 2 (два), в т.ч. и Регистър на осигурителите осигурените ползващите лица и пенсионерите. По отношение и на този регистър дружеството е заявило, че данните ще се обработват в срок „до постигане на целите";

"Ай Ен Джи Пенсионно осигурително дружество" ЕАД, ЕИК 121708719- идн. №23008; заявен брой регистри- 10 (десет), като по отношение на всичките девет регистъра (б.а. с изключение „Регистър видеонаблюдение") дружеството е заявило, срок за съхранение на данните „не";

Пенсионно осигурително Акционерно Дружество "ЦКБ-СИЛА", ЕИК 825240908- идн. №22871; заявен брой регистри- 4 (четири), в т.ч. и: Регистър доброволен пенсионен фонд ЦКБ-СИЛА и Регистър задължителни пенсионни фондове ЦКБ-СИЛА, като по отношение и на двата регистъра дружеството е заявило, срок за съхранение на данните „не";

Пенсионно осигурително дружество „БЪДЕЩЕ" АД, ЕИК 131125704- идн. №118595; заявен брой регистри- 4 (четири), в т.ч. и: Регистър допълнително доброволно осигуряване в доброволен пенсионен фонд, Регистър допълнително задължително пенсионно осигуряване в универсален пенсионенен фонд и Регистър допълнително задължително пенсионно осигуряване в професионален пенсионенен фонд, като по отношение и на трите регистъра дружеството е заявило, срок за съхранение на данните „3 години";

Пенсионно осигурителна компания „Топлина" АД, ЕИК 175137918- идн. №34428; заявен брой регистри- 4 (четири), в т.ч. и: Регистър на лицата, осигурявани в доброволен пенсионен фонд „Топлина", Регистър на лицата, осигурявани в професионален пенсионен фонд „Топлина" и Регистър на лицата, осигурявани в универсален пенсионен фонд „Топлина", като по отношение и на трите регистъра дружеството е заявило, срок за съхранение на данните „До датата на прекратяване или преобразуване на фонда";

„Пенсионно осигурителен институт" АД, ЕИК, 200098313- идн. №51414; заявен брой регистри- 4 (четири), в т.ч. и: Регистър професионален пенсионен фонд "Пенсионноосигурителен институт", Регистър доброволен пенсионен фонд "Пенсионноосигурителен институт" и Регистър универсален пенсионен фонд "Пенсионноосигурителен институт", като по отношение и на трите регистъра дружеството е заявило, срок за съхранение на данните „не".

С оглед извършената служебна справка се установи, че по отношение на аналогични регистри при различните пенсионно осигурителни дружества се наблюдава съществено различие в обявените за съхранение на данните срокове. В голямата си част не са заявени никакви срокове, едно от дружествата е заявило срок от 3 години, друго е подало информация, че обработва данните безсрочно, а трето- до датата на прекратяване или преобразуване на фонда. Във връзка с констатираните различия, следва да се направи необходимото от страна на пенсионно осигурителните дружества да посочат срокове за обработка на данните съобразно спецификата на целта, за която данните се обработват и поддържат в съответния регистър, който срок да бъде съобразен и с нормативните изисквания на осигурителното законодателство.

Съхранението на заявления за участие и на заявления за промяна на участие в пенсионно осигурителни фондове, без значение дали по тях са сключени или не осигурителни договори, по своята същност съставлява обработване на лични данни, по смисъла на легалната дефиниция в параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. това е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл.4, ал.1 от ЗЗЛД, според който обработването на лични данни се допуска, само когато е налице поне едно от изчерпателно изброените условия за допустимост на обработването.

В конкретния казус е безспорно наличието на условие за допустимост на обработването на лични данни във връзка с подаване на заявление за участие в конкретен пенсионно осигурителен фонд към конкретно пенсионно осигурително дружество от страна на самото лице, за което е възникнало задължение за осигуряване в универсален пенсионен фонд или е служебно разпределено /чл. 4, ал.1, т.1 и/или т.2 от ЗЗЛД/. Същото е длъжно да подаде в срока по чл.137, ал.3 от Кодекса за социално осигуряване заявление по образец съгласно приложение №1 от Наредба №33 на КФН до пенсионно осигурителното дружество, управляващо фонда, в който желае да участва или е служебно разпределен. Безспорно е наличието на условие за допустимост на обработването на лични данни във връзка с подаване на заявление за промяна на участие в конкретен пенсионно осигурителен фонд към конкретно пенсионно осигурително дружество /чл. 4, ал.1, т.1 и т.2 от ЗЗЛД/. Съгласно чл.171 от КСО осигуреното лице има право да промени участието си във фонд за допълнително задължително пенсионно осигуряване и да прехвърли натрупаните средства по индивидуалната партида от един в друг съответен фонд, управляван от друго пенсионно осигурително дружество, ако са изтекли две години от датата на сключване на първия му осигурителен договор или от датата на служебното му разпределение след възникване на задължението му за осигуряване при спазване на нормативно установената за това процедура и при предоставяне на нормативно установения за това обем и вид данни. Съгласно чл.216 от Наредба №3 на КФН пенсионно осигурителното дружество, управляващо фонда, в който лицето е прехвърлило средства, съответно пенсионно осигурителното дружество, управляващо фонда, в който лицето е продължило да се осигурява поради отказ по чл.6, ал.1 или 2, съответно по чл.16, ал.1- 3 от същата наредба, съхраняват заявленията и свързаните с тях документи за срок не по-малък от 5 години от приключване на съответната процедура по реда на чл.8, ал.2 и чл.18, ал.2. Следва да се има предвид, че едно от правомощията на Комисията по финансов надзор е именно да дава писмени указания относно прилагането и тълкуването както на Кодекса за социално осигуряване, така също и на подзаконовите нормативни актове по неговото прилагане, в т.ч. и цитираната Наредба №3 на КФН, във връзка с осъществяване на финансовия надзор, в който надзор се включва и надзора на дейността на дружествата за допълнително социално осигуряване и на управляваните от тях фондове, съгласно Кодекса за социално осигуряване. С оглед обстоятелството, че в цитирания чл.216 от Наредба №3 на КФН е поставено изискване само и единствено за минималния размер на срока на съхранение на заявленията за промяна на участие и свързаните с тях документи, няма пречка за надзорния орган- КФН, при необходимост, мотивирано и съобразено с целите, за които се обработват данните чрез тяхното съхранение, да удължи разумно този срок. Относно притесненията, че така удължения срок с 1 година противоречи на чл.25 от ЗЗЛД, е важно да се обърне внимание на обстоятелството, че задължението на администратора на лични данни да унищожи данните или да ги прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването, възниква от момента, в който целта -на обработване на личните данни е постигната или преди преустановяване на обработването на личните данни. Само при наличие на тези обстоятелства за администратора на лични данни ще се породи задължението по чл.25 от ЗЗЛД. Следва обаче да се има предвид, че при наличие на нормативно разписан срок на съхранение на данните, същият следва да бъде съобразен.

Относно законосъобразното обработване на данни, освен наличие на условие за допустимост на обработването, администраторите на лични данни, в конкретния казус- пенсионно осигурителните дружества, следва да обработват данните и съгласно разписаните за това принципи в чл.2, ал.2 от ЗЗЛД, и по- конкретно личните данни да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон; да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват и да се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват. Във всички случаи администраторът е длъжен и да изпълни задълженията си за уведомяване на физическите лица, съгласно чл.19 и чл.20 от ЗЗЛД.

За да се гарантира изпълнението на заложените в чл.2, ал.2 от ЗЗЛД принципи за целесъобразност и пропорционалност на данните, е и разписаното задължение на администратора на лични данни в чл.23, ал 1, изречение второ от ЗЗЛД, да определи срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за тяхното заличаване. Тези мерки се определят с инструкция на администратора на лични данни, в конкретния казус- съответните пенсионно осигурителни дружества.

С оглед на гореизложеното и на основание чл.Ю, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни да изрази следното

1. За да е налице правомерно обработване на лични данни, в случаите на съхранение за срок от една година на подадени до съответно пенсионно осигурително дружество заявления на осигурени лица, във връзка с които не са сключени осигурителни договори и не са възникнали осигурителни правоотношения, следва да е налице, за всеки конкретен случай, поне едно от дадените алтернативно в чл.4, ал.1 от Закона за защита на личните данни условия за допустимост на обработването.

2. Данните следва да се обработват при стриктно спазване на принципите за законосъобразност, целесъобразност и пропорционалност на данните, визирани в чл.2, ал.2 от ЗЗЛД.

3. В случаите, в които за обработването на данни има нормативно установен срок, същите следва да се обработват в рамките на този срок. В случаите, в които не е налице такъв срок, администраторът е длъжен да обработва данните за период не по дълъг от необходимия за постигане на целите, за които са били получени те. Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни, като мерките и сроковете за това се определят с инструкция на администратора на ,лични данни.

В правомощията на Комисията по финансов надзор, в качеството й на регулаторен и надзорен орган, е да приема наредби и инструкции, когато това е предвидено в закон, както и да дава писмени указания относно прилагането и тълкуването на Кодекса за социално осигуряване и подзаконовите нормативни актове по неговото прилагане, във връзка с осъществяване на финансов надзор върху дейността на дружествата за допълнително социално осигуряване и на управляваните от тях фондове. Поради това няма пречка КФН, съобразно своите правомощия, да прецени наличието на необходимост от съхраняване на заявленията за срок от една година или удължаване на срока за тяхното съхранение от страна на пенсионноосигурителните дружества.