Кога представителите на доставчици на платежни услуги са и обработващи, и администратори на лични данни?

„Когато едно лице е задължено по закон да извършва дейност, която изисква обработване на лични данни, това лице е администратор по отношение на тези лични данни“, пише в становище на КЗЛД.

В броя от май на бюлетина на Комисията за защита на личните данни е публикувано становището й за ролята и задълженията за защита на личните данни на представителите на доставчици на платежни услуги по чл. 4, т. 2 от Закона за мерките срещу изпирането на пари (ЗМИП):

СТАНОВИЩЕ НА КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

рег. № ПНМД-01-4/2020 г.

гр. София, 09.04.2020 г.

ОТНОСНО: Ролята и задълженията за защита на личните данни на представителите на доставчици на платежни услуги по чл. 4, т. 2 от Закона за мерките срещу изпирането на пари (ЗМИП)

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 25.03.2020 г., разгледа искане за становище с рег. № ПНМД-01-4/15.01.2020 г. от адвокатско дружество, с което се поставят въпроси относно ролята и задълженията за защита на личните данни на представителите на доставчици на платежни услуги по чл. 4, т. 2 от Закона за мерките срещу изпирането на пари (ЗМИП).

Конкретният повод за настоящото искане е възникнал в практиката въпрос, касаещ приложението на законодателството за защита на личните данни във връзка със законовите задължения по ЗМИП, чието изпълнение изисква обработване на лични данни.

Разпоредбата на чл. 4 от ЗМИП определя кръга на задължените субекти, които следва да прилагат закона, като сред тях попадат и другите доставчици на платежни услуги по смисъла на Закона за платежните услуги и платежните системи (ЗПУПС) (наричани по-долу „Доставчици“), както и техните представители (наричани по-долу „Представители“).

Адвокатското дружество счита, че по отношение на Представителите в законодателната уредба съществува неяснота относно това, дали те са самостоятелно задължени лица със свои самостоятелни задължения по ЗМИП, или самостоятелно задължени лица по ЗМИП са единствено Доставчиците, но не и техните Представители.

С оглед на това дружеството излага следния правен анализ:

Едното възможно тълкуване е, че целта на изричното посочване на Представителите като отделно задължени лица по чл. 4, т. 2 от ЗМИП е именно това, да се създаде допълнително самостоятелно законово задължение и за тях. Тоест да се задължат Представителите, освен от името и за сметка на Доставчиците, и от свое име самостоятелно и отделно да прилагат мерките по чл. 3, т. 1–6 от ЗМИП, включително да поддържат и собствен архив документи, отделен от този на Доставчиците.

Другото възможно тълкуване е, че Представителите нямат самостоятелно законово задължение за прилагане на мерки по ЗМИП. Тоест, че целта на уредбата е Представителите да изпълняват само и единствено чуждо задължение от чуждо име и за чужда сметка, като включително единствено Доставчикът е длъжен да поддържа собствен архив в изпълнение на задълженията си по ЗМИП.

Когато едно лице обработва лични данни в изпълнение на законово задължение (например по ЗМИП), основанието е чл. 6, § 1, б. „в“ от ОРЗД. В тази разпоредба Регламентът изрично посочва „законово задължение, което се прилага спрямо администратора“. Тоест лицето, което е задължено да обработва личните данни по закон, може да е администратор по смисъла на ОРЗД, но не и обработващ.

В допълнение, съгласно определението за администратор по чл. 4, т. 7 от ОРЗД, „когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“. По-често се среща обаче случаят, когато законодателството, вместо да определя пряко администратора или да установява критериите за неговото определяне, възлага задача или налага задължение на определени лица да събират и обработват лични данни. Такъв е например случаят с лице, на което по закон са възложени определени задължения, които не могат да бъдат изпълнени, без да се съберат определени лични данни. В тези случаи от закона следва кой е администраторът (Становище 1/2010 на Работна Група за защита на данните по чл. 29, стр. 12).

Следователно, когато едно лице е задължено по закон да извършва дейност, която изисква обработване на лични данни, това лице е администратор по отношение на тези лични данни. Логиката на това законодателно решение е, че лицата, които имат законово задължение да обработват лични данни, носят самостоятелна отговорност за спазването на законодателството за защита на лични данни. Тези лица не могат да се освободят от отговорност за нарушаване на законодателството на основание следването на чужди инструкции за обработване на лични данни.

Предвид горното, целта на настоящото искане за становище е изясняване на ролята и задълженията на Доставчиците и Представителите относно личните данни, които обработват в изпълнение на законовите си задължения по ЗМИП. По-конкретно дали (1) Представителите действат само като обработващи по смисъла на чл. 28 от ОРЗД от името на Доставчиците, които представляват;

или (2) в допълнение на ролята си на обработващ, Представителите имат и роля на администратор, но само по отношение на личните данни, които обработват в изпълнение на самостоятелно законово задължение.

Първото разбиране е, че при представителство администратор остава единствено Доставчикът, а Представителят е само обработващ лични данни. Основен аргумент в тази посока е, че Доставчиците (както и самите законови разпоредби) определят целите и средствата за обработването, а Представителите, като изпълнители по договора за представителство, не биха обработвали лични данни, ако не беше в изпълнение на задълженията си към Доставчиците.

Второто становище е, че ако Представителите имат самостоятелно законово задължение по ЗМИП, те действат не само като обработващи, но и като администратори (предвид посоченото по-горе). Тоест, съгласно второто становище, при изпълнение на задълженията си по ЗМИП, Представителите имат двойна роля – обработват лични данни, както в качеството си на обработващ, така и в качеството си на администратор, предвид различните основания, на които възникват задълженията им.

Аргумент в подкрепа на второто становище е, че ако Представителите са адресати на отделно законово задължение по ЗМИП, изпълнението на последното предполага те да имат свобода да определят до известна степен целите и средствата на обработването (напр. да разкрият информация за съмнителна сделка). При това Представителите следва да имат възможността да обработват лични данни не само съгласно нареждането на Доставчиците (чл. 28, § 3, б. „а“ от ОРЗД).

Ако например Представител счете, че е налице основание да разкрие информация за съмнителна сделка, по закон той е длъжен да направи съответната преценка и да разкрие информацията, а не да следва само нареждането на Доставчика само като обработващ лични данни. Ако в тази ситуация, Представителят наруши законовото си задължение по ЗМИП, поради това, че е изпълнил нареждане на Доставчик (напр. да не разкрие информацията), Представителят ще носи отговорност по ЗМИП.

Именно предвид необходимостта и задължението да направи самостоятелна преценка, Представителят не е обработващ на данни, следващ само нарежданията на Доставчика, а администратор, който има правото да определи до известна степен целта и средствата на обработването.

В обратния случай, ако Представителят не е адресат на законово задължение, последният не би бил задължен да извършва самостоятелно преценка и прилагане на мерките по ЗМИП.

Съответно не би му била необходима свободата на преценка дали да разкрива информацията, а само да следва нареждането на Доставчика. Тоест в този случай само Доставчикът би носил отговорност за нарушението по ЗМИП, доколкото Представителят не е адресатът на законовото задължение и не би действал от свое име.

Предвид гореизложеното, адвокатското дружество моли за становище по следните въпроси:

  1. „Действат ли представителите на доставчици на платежни услуги по ЗПУПС като администратори, когато обработват лични данни в изпълнение задължение, възникващо на самостоятелно законово основание за тях?“
  2. „Във връзка с въпрос 1, считате ли, че при изпълнение на задълженията си по чл. 3, т. 1–6 от ЗМИП представителите на доставчици на платежни услуги по ЗПУПС действат като администратори или само като обработващи лични данни?“

Правен анализ:

  1. Обща част

Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) урежда общоевропейската правна рамка за защита на физическите лица при обработване на личните им данни. За да бъде правомерно, обработването на лични данни следва да се извършва при наличие на някое от алтернативните и изчерпателно изброени основания за законосъобразност, посочени в чл. 6 (общи категории) или чл. 9 (специални категории), както и при спазване на принципите за обработване, прогласени в чл. 5 на Регламента.

Разбирането и познаването на фигурите на „администратор“ и „обработващ“ е ключово за точното прилагане на законодателството в областта на защитата на личните данни и неприкосновеността на личността. ОРЗД предвиди идентични легални дефиниции на понятията с тези по отменената Директива 95/46/ЕО, но въпреки това фигурата на обработващия претърпя съществена правна метаморфоза, като за нея се предвидиха редица задължения, които не съществуваха до този момент.

Съгласно легалното определение, визирано в чл. 4, т. 7 Регламент (ЕС) 2016/679 „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

Качеството администратор е пряко следствие от обстоятелството, че конкретно лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законово определено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани, и кога и по какъв начин да бъдат унищожени.

В допълнение, Регламентът вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно разпоредбата на чл. 30, § 1 от Регламент (ЕС) 2016/679, администраторът поддържа регистър на дейностите по обработване, за които отговаря. Този ангажимент произтича от принципа за отчетност и необходимостта администраторът във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в регламента.

„Обработващ лични данни“ може да бъде „физическо или юридическо лице, публичен орган, агенция или структура, която обработва лични данни от името на администратора“ (чл. 4, т. 8 от Регламент (ЕС) 2016/679).

Основната разлика между администратор и обработващ се състои в това, че вторият не действа самостоятелно, а от името на администратора на лични данни, т.е. последиците от обработването на личните данни, настъпват директно в правната сфера на администратора. Регламентът предвижда, че техните отношения се уреждат с договор или с друг правен акт съгласно правото на ЕС или правото на държава членка, който регламентира предмета и срока на действие, естеството и целта на обработването, вида лични данни и категориите субекти на данни и правата и задълженията на администратора, вкл. да извършва проверки (одити).

Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до гарантиране на сигурността на данните. Така например, той е длъжен да обработва лични данни само по документирано нареждане от страна на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка (арг. чл. 28, § 3, б. „а“ вр. с чл. 29 от ОРЗД). В случаите, когато е необходимо включването на друг обработващ данните, това става само с изричното писмено разрешение на администратора. Нещо повече, предвид буква „з” от първа алинея на чл. 28 обработващият лични данни следва незабавно да уведомява администратора, ако според него дадено нареждане нарушава Регламента или други разпоредби на Съюза или на държавите членки относно защитата на данни. Подобно на администратора, съгласно чл. 30, § 2 от Общия регламент, обработващият също е задължен да поддържа регистър на дейностите по обработване, за които отговаря.

В допълнение, с оглед още по-голяма яснота, разпоредбата на чл. 28, § 10 от Общия регламент изрично предвижда, че ако обработващият започне сам да определя целите и средствата на обработване, той автоматично започва да се счита за администратор.

Принципът на отчетност, визиран в чл. 5, § 2 от Регламент (ЕС) 2016/679, изисква от участниците в търговския и гражданския оборот, вземайки предвид своята дейност, сами да определят какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ по смисъла на чл. 28 или съвместни администратори по чл. 26 от ОРЗД. Техният избор следва да гарантира не само формално, но и по същество съответствие с изискванията на Регламент (ЕС) 2016/679 и съответно ефективна защита на правата на субектите на данни. Също така, следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28 от Регламента.

Поначало администраторът на лични данни може да възлага на обработващ дейности по обработка, за които самият той има правна възможност да извърши, но поради различни причини от организационно, техническо, финансово или друго естество е преценил, че е по-подходящо да се осъществяват от обработващ.

  1. Специална част

Със Закона за мерките срещу изпирането на пари (ЗМИП) се определят мерките за превенция на използването на финансовата система за целите на изпирането на пари, както и организацията и контролът по тяхното изпълнение.

Разпоредбата на чл. 4 от закона определя изчерпателно кръга на задължените субекти, сред които попадат и „другите доставчици на платежни услуги по смисъла на Закона за платежните услуги и платежните системи и техните представители“ (арг. чл. 4, т. 2 ЗМИП).

Въпреки че КЗЛД не е компетентна да се произнася по прилагането на специални закони (контролът по прилагането на ЗМИП се упражнява от председателя на Държавна агенция „Национална сигурност“), систематичното и граматическо тълкуване налага извода, че законодателят е посочил представителите на платежните институции като самостоятелно задължени субекти.

От друга страна, Законът за платежните услуги и платежните системи (ЗПУПС) урежда изискванията към дейността на доставчиците на платежни услуги, както и видовете предоставяни платежни услуги.

Разпоредбата на чл. 28 и сл. от ЗПУПС регламентират дейността на „представителите“ на платежните институции, като законът посочва, че платежните институции, лицензирани от БНБ може да осъществяват дейността, за която са лицензирани, пряко или чрез представител, на територията на Република България. От своя страна, представителят може да е търговец, който извършва от името на лицензирана от БНБ платежна институция дейност по предоставяне на платежни услуги (арг. чл. 28, ал. 2 ЗПУПС). В допълнение, чл. 30 от закона определя и рамките на отговорността на платежната институция, според която същата носи отговорност за действията на своите служители, клонове, представители или подизпълнители.

От изложеното дотук е ясно, че представителите на платежните институции могат да извършват съответните платежни услуги от тяхно име, като упражняването на дейността им е обусловено и от обработването на лични данни (от тяхно име), което е ключовият признак за наличието на качеството на „обработващ лични данни“ по смисъла на ОРЗД.

Визираните аргументи налагат извода, че представителите на платежните институции, извършват дейности по обработване на лични, както за различни цели, дефинирани в ЗМИП и ЗПУПС, така и на различни правни основания. Следва да се отбележи, че наличието на правното качество на обработващ не изключва възможността за същия да извършва операции по обработване на лични данни и в ролята на администратор. Нещо повече, диференцирането на двете функции трябва да намери своето отражение и в съответните политики и процедури при обработване на личните данни.

Във връзка с горепосоченото и на основание чл. 58, § 3, б. „б“ от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

  1. Предвид факта, че представителят на доставчик на платежни услуги по смисъла на Закона за платежните услуги и платежните системи (ЗПУПС) извършва съответната дейност, вменена му по този закон от името на доставчика на услугите, следва да се направи обоснован извод, че за същия са налице условията за обработване на лични данни в качеството на обработващ по смисъла на чл. 4, т. 8 вр. чл. 28 от Регламент (ЕС) 2016/679.
  2. В качеството си на самостоятелно задължен субект по чл. 4 от Закона за мерките срещу изпирането на пари (ЗМИП) представителят на доставчик на платежни услуги, извършва дейностите по обработване на лични данни в рамките на ЗМИП в ролята си на администратор, на основание чл. 6, § 1, б. „в“ от Регламент (ЕС) 2016/679.