„Централен депозитар“ отказва да актуализира грешни ЕГН на акционери

Публично дружество не може да си изпълни задължение към НАП

Ако се чудите защо у нас няма капиталов пазар, прочетете едно от решенията на Комисията за защита на личните данни, публикувано в бюлетина на ведомството от февруари:

През октомври 2019 г. изпълнителният директор на „К.Б.“ АД (Дружеството) – г-н Т.Ч. подава искане в Комисията за защита на личните данни за издаване на разрешение за предоставяне на лични данни. В писмото си г-н Т.Ч. информира, че в изпълнение на вменените на Дружеството задължения по чл. 73, ал. 1 от Закона за доходите на физическите лица (ЗДФЛ) е изготвена справка по образец за изплатените през годината доходи и за удържания през годината данък и задължителни осигуровки.

При подаване на тази справка към Националната агенция за приходите е било установено, че за четиридесет от миноритарните акционери на Дружеството е налице несъответствие в единните граждански номера. Единните граждански номера, с които дружеството разполага, са му предоставени от „Централен депозитар“ АД (ЦДАД), който поддържа книгата на акционерите на Дружеството.

Уточнява се, че този порок в декларацията възпрепятства подаването на данни към НАП за изплатен данък върху разпределен дивидент на акционерите, поради което Дружеството е сезирало същата агенция със запиване по случая.

От приложения към настоящата преписка отговор е видно, че НАП, по силата на чл. 81, ал. 1, т. 1-4 от Данъчно-осигурителния процесуален кодекс (ДОПК), идентифицира физическите лица по три имена и ЕГН и че отговорността за идентифицирането на лицата, фигуриращи в подадената декларация е в тежест на подателя. НАП изтъква също, че Дружеството, като платец на дохода, следва да предприеме необходимите действия за идентифицирането на лицата, на които е изплатило дохода от дивиденти и ликвидационни дялове по чл. 38, ал. 1 от ЗДФЛ и в последствие да подаде коригираща справка към НАП по чл. 73, ал. 1 от същия закон.

В изпълнение на така дадените указания, Дружеството е сезирало „Централен депозитар“ АД, с молба за актуализиране на ЕГН на идентифицираните 40 физически лица акционери на Дружеството.

В свой отговор „Централен депозитар“ АД (ЦДАД) посочва, че всички промени в идентификационни данни на притежатели на финансови инструменти се извършват по реда на чл. 174 от Правилника на ЦДАД, като се подчертава, че по смисъла на чл. 133, ал. 1 от Закона за публичното предлагане на ценни книжа (ЗППЦК) достъп на притежатели на безналични финансови инструменти до регистрите на ЦДАД е възможен единствено чрез лицензиран от Комисията за финансов надзор инвестиционен посредник, при това само по отношение на притежаваните от самото лице финансови инструменти и до сделки, по които същото е страна. В заключение се обръща внимание, че ЦДАД няма връзка с регистър ЕСГРАОН и се твърди, че няма правно основание да прави корекции в данните без изричното съгласие на притежателя на финансови инструменти.

С цел преодоляване на невъзможността за получаване на коректни данни от ЦДАД, Дружеството се обръща за съдействие към Министерство на регионалното развитие и благоустройството (МРРБ) с молба за предоставяне на достъп до данните на сгрешените акционери и актуализиране на техните ЕГН. В отговор на тази молба, Главна дирекция „Гражданска регистрация и административно обслужване“ (ГРАО) към МРРБ информира Дружеството, че по силата на Закона за гражданската регистрация (ЗГР) и в частност чл. 106, ал. 1, т. 3, Дружеството може да получи достъп до данните на визираните лица въз основа на закон, на акт на съда или на разрешение на Комисията за защита на личните данни. След повторно искане от страна на Дружеството, с приложено извлечение от книгата на акционерите му, ГРАО подчертават, че предоставянето на въпросната извадка от книга на акционерите не представлява основание и не поражда задължение към ГД ГРАО за предоставянето на лични данни за лицата.

В следствие на изложеното, Дружеството сезира КЗЛД с искане за постановяване на решение по чл. 106, ал. 1, т. 3 от ЗГР, като изрично се подчертава, че Дружеството е администратор на личните данни на своите акционери и като такъв то следва да спазва принципите прогласени в Регламент (ЕС) 2016/679 – Общ регламент относно защитата на данните, като се акцентира, че обработването на изисканите 40 ЕГН попадат в полето на правните основания на чл. 6, пар. 1, б. „в“ и „е“ от Регламента – когато обработването е необходимо за спазване на законово задължение и съответно за целите на защитата на легитимния интерес на администратора. Набляга се на обстоятелството, че спрямо „К.Б.“ АД е налице задължение „личните данни да бъдат точни и при необходимост трябва да бъдат поддържани в актуален вид“ по смисъла на чл. 5, пар. 1, б. „г“ от регламента.

Правен анализ:

Дружеството, подало искането до КЗЛД, е акционерно дружество, което по смисъла на чл. 178 от Търговския закон (ТЗ) е издало безналични акции. Съгласно чл. 178, ал. 2, изр. 2 от ТЗ „Издаването и разпореждането с безналични акции се извършват по ред, установен със закон.“. По смисъла на чл. 178 от ТЗ в общия случай Дружеството би следвало да поддържа при себе си книга на акционерите в която се записват името и адресът, ЕГН/ЛНЧ или ЕИК на притежателите на поименните акции и се отбелязват видът, номиналната и емисионната стойност, броят и номерата на акциите. В настоящия случай, обаче, се прилага визирания в чл. 178, ал. 2 от ТЗ специален ред, а именно този предвиден в чл. 127 от ЗППЦК в редакцията му актуална до 23.04.2020 г., както следва:

Чл. 127. (1) (Изм. – ДВ, бр. 103 от 2012 г.) Издаването и разпореждането с безналични финансови инструменти има действие от регистрацията им в Централния депозитар.

(2) (Изм. – ДВ, бр. 103 от 2012 г.) Централният депозитар е акционерно дружество с едностепенна система на управление и с предмет на дейност:

  1. откриване и водене на сметки за финансови инструменти по ал. 1;

[…]

  1. администриране на финансови инструменти, включително водене на книгите за безналични акции и облигации;

[…]

Видно от горното, ЦДАД води и поддържа книгата на акционерите от името и за сметката на Дружеството, като всяко разпоредително действие с безналичните акции се отразява в поддържаните от ЦДАД регистри. ЦДАД като част от вменената си дейност по силата на специалния закон, се подчинява на разпоредбите на Регламент (ЕС) № 909/2014 на Европейския парламент и на Съвета от 23 юли 2014 година за подобряване на сетълмента на ценни книжа в Европейския съюз и за централните депозитари на ценни книжа, както и за изменение на директиви 98/26/ЕО и 2014/65/ЕС и Регламент (ЕС) № 236/2012, съгласно който „централен депозитар на ценни книжа“ или „ЦДЦК“ означава юридическо лице, което управлява система за сетълмент на ценни книжа, посочена в раздел А, точка 3 от приложението към този регламент и предоставя най-малко още една от основните услуги, посочени в раздел А от приложението. Съгласно раздел Б на списъка с услуги от същия регламент, ЦДАД осъществява:

Раздел Б

Спомагателни услуги от небанков тип, предоставяни от ЦДЦК, които не пораждат кредитен или ликвиден риск

Предоставяни от ЦДЦК услуги, допринасящи за повишаване на сигурността, ефикасността и прозрачността на пазарите на ценни книжа, които могат да включват, но не се ограничават до:

[…]

  1. Услуги, свързани с регистрационните услуги и услугите по централно поддържане, като например:

а) услуги, свързани с регистри на акционерите;

б) подпомагане на провеждането на корпоративни действия, включително данъчни и информационни услуги и услуги, свързани с провеждането на общи събрания;

в) услуги, свързани с нови емисии на ценни книжа, включително присвояване и управление на ISIN кодове и други подобни кодове;

г) предаване и обработка на инструкции, събиране и обработка на такси, както и свързаното с това отчитане.“

Същевременно, съображение 66 от Регламент (ЕС) № 909/2014 гласи:

66) Дейностите по обработка на лични данни, извършвани в държавите членки съгласно настоящия регламент, се уреждат с Директива 95/46/ЕО на Европейския парламент и на Съвета(18). Всеки обмен или предаване на лични данни от страна на компетентните органи на държавите членки следва да се извършва в съответствие с правилата за предаване на лични данни, предвидени в Директива 95/46/ЕО. Дейностите по обработка на лични данни, извършвани от ЕОЦКП съгласно настоящия регламент, се уреждат с Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета(19). Всеки обмен или предаване на лични данни от страна на ЕОЦКП следва да се извършва в съответствие с правилата за предаване на лични данни, предвидени в Регламент (ЕО) № 45/2001.

Като се има предвид, че Директива 95/46/ЕО е отменена с Регламент (ЕС) 2016/679, то правилата за обработване на лични данни се прилагат непосредствено спрямо централните депозитари на територията на ЕС съгласно този регламент. Регламент (ЕС) 2016/679, който се прилага пряко от 25 май 2018 г., наред със Закона за защита на личните данни (ЗЗЛД) с последните му изменения и допълнения, в сила от 2 март 2019 г., определят правилата за защита на основните права, свободи и интереси на физическите лица във връзка с обработването на личните им данни и по-специално правото на защита на личните данни.

За пълнота на изложението следва да се отбележат и разпоредбите на чл. 112 и 115 от Правилника за дейността на „Централен депозитар“ АД в последната му редакция, одобрена с решение на КФН № 1316-ЦД от 19.12.2019 г., в сила от 07.01.2020 г. Посочените разпоредби определят видовете сметки и тяхното откриване за физически лица (субекти на лични данни):

Чл.112. (1) ЦД открива и поддържа сметки за финансови инструменти при условията и по реда на настоящия правилник и в съответствие с действащото законодателство.

(2) Финансови инструменти се вписват по сметки на:

  1. лицата, притежатели на безналични финансови инструменти – лични или клиентски сметки;

[…]

Чл.115. ЦД открива и води сметки за финансови инструменти, както следва:

  1. в регистрационната система:

а) лични сметки за финансови инструменти на притежателите на финансови инструменти, извън клиентските регистри при членовете на ЦД;

Съгласно чл. 4, т. 1 от Общия регламент, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“) пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Следователно ЕГН на физически лица представлява лични данни на субектите на данни. Нещо повече, Общият регламент предвижда в чл. 87 особени правила при обработването на такъв вид идентификатор:

„Обработване на националния идентификационен номер: Държавите членки могат да определят и специалните условия за обработване на национален идентификационен номер или на всякакъв друг идентификатор с общо приложение. В този случай националният идентификационен номер и всеки друг идентификатор с общо приложение се използват само при подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент.“

Съгласно чл. 4, ал. 7 от Регламента „администратор на лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка, следователно както „К.Б.“ АД, така и „Централен депозитар“ АД попадат в дефиницията на администратор на лични данни, доколкото всеки от тях обработва самостоятелно личните данни залегнали в книгите на акционерите – Дружеството за целите на своята корпоративна дейност, а ЦДАД в качеството си на структура, което по силата на нормативно вменените му задължения поддържа регистър на акционерите, на сделките с безналичните акции и книгата на акционерите на Дружеството.

Въпреки, че е задължение на всеки администратор и/или обработващ сам да определи своята роля и функции по смисъла на Общия регламент, за целите на настоящето решение, следва да се направи обоснован извод, че в случая се касае за двама самостоятелни администратори, тъй като целите и средствата за обработване на един и същи набор от лични данни се различават по своята същност и всеки един от тях осъществява обработване в рамките на съответно приложимото специално законодателство. В този смисъл е и трайната практика на КЗЛД по отношение на формирования, които осъществяват дейността си при условията на стриктна регламентация (банки, доставчици на пощенски услуги, лечебни заведения и т.н.).

С оглед на горното, всички задължения по обработване на лични данни, произтичащи от Общия регламент, се прилагат спрямо двете описани дружества в цялост, на самостоятелно основание, по отношение на операциите по обработване, които те независимо от другия осъществяват.

Предоставянето от страна на Министерството на регионалното развитие – ГД „ГРАО” на лични данни на физически лица, съдържащи се в Национална база данни „Население”, би представлявало „обработване на лични данни”, което се извършва чрез предоставяне на данните, съгласно легалната дефиниция, посочена в чл. 4, ал. 2 от Регламента. По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл. 6 от Регламента, според който обработването на лични данни е законосъобразно, когато е налице поне едно от изчерпателно изброените и дадени алтернативно условия за законосъобразност на обработването.

Предвид горното, предоставянето на информация, съдържаща лични данни, може да се извършва само при наличие на една от хипотезите, разписани в чл. 6, ал. 1 от Регламента и в съответствие с разпоредбите на чл. 106 от ЗГР.

Гражданската регистрация включва съвкупност от данни за едно лице, които го отличават от другите лица в обществото и в семейството му в качеството на носител на субективни права, като име, гражданство, семейно положение, родство, постоянен адрес и др. Гражданската регистрация на физическите лица в Република България се основава на данните в актовете за тяхното гражданско състояние и на данните в други актове, посочени в закон. Вписването в регистъра на населението се извършва в общините по постоянен адрес на физическите лица. В регистрите на актовете за гражданското състояние се вписват (в населеното място, в което е настъпило събитието) събитията раждане, брак и смърт за всички лица, които към момента на настъпване на събитието са български граждани, и за лицата, които не са български граждани, но към момента на настъпване на събитието се намират на територията на Република България, като отговорността за гражданската регистрация на територията на конкретната община е на кмета на общината, съобразно разпоредбата на чл. 4, ал. 3 от Закона за гражданската регистрация (ЗГР).

По смисъла на чл. 22 от ЗГР, регистърът на населението се поддържа в електронен вид и формира Национална база данни „Население“. Регионална база данни „Население“ е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в областта. Локална база данни „Население“ е част от регистъра на населението и се състои от електронните лични регистрационни картони на физическите лица с постоянен и/или настоящ адрес в общината. В чл. 24 от ЗГР е разписано, че общинската администрация издава удостоверения въз основа на регистъра на населението.

Данните от Регистъра на населението на Република България се предоставят само при наличие на нормативно основание, предвидено в съответния специален закон. Законът за гражданската регистрация установява нормативните предпоставки, при наличието на които администраторът може да предостави данни по гражданската регистрация на трети лица. В чл. 106 от Закона за гражданската регистрация са изброени субектите и условията за предоставяне на данни от ЕСГРАОН. С оглед на обстоятелството, че в конкретния случай намира приложение хипотезата по чл. 106, ал. 1, т. 3, предл.

3 от ЗГР – данните се предоставят въз основа на разрешение на Комисията за защита на личните данни, което представлява административно производство пред КЗЛД, Комисията следи за наличие на условие за допустимост на обработването.

В настоящия случай, като се имат предвид условията за обработване на лични данни, е видно, че Дружеството няма вменени задължения или правомощия по актуализиране на данни на физически лица в регистър, който то не поддържа (книга на акционерите), а напротив получава като завършен регистър на лични данни от друг администратор – „Централен депозитар“ АД. Нещо повече, получаването от ГД ГРАО на изисканите актуални ЕГН на лица няма да породи никакви правни последици, доколкото те не могат да бъдат отразени в книгата на акционерите без съдействието на администратора, който я поддържа. Следователно, вторичното обработване на национален идентификационен номер само за целите на подаване на справка по реда на чл. 73 от ЗДФЛ не отговаря на критериите, заложени в чл. 87 от Общия регламент.

Задължение на администратора, изначално поддържащ книгата на акционерите, е да отговори на изискванията на чл. 5, пар. 1, б. „г“ от Регламента и да предоставя данни, които са точни и актуални. Наличието на процедура за корекция на данни, разписана във вътрешен акт (какъвто е Правилника за дейността на ЦДАД), по никакъв начин не дерогира прякото прилагане на правилата на Общия регламент и в случай, че му противоречи не следва да се прилага. В този смисъл, ЦДАД като администратор, обвързан с изискванията на чл. 5 от Общия регламент, следва да извърши анализ и преценка относно актуалността на личните данни, поддържани от него и да актуализира в своите регистри данните на физическите лица или като се свърже с акционерите, за които има информация за сгрешени ЕГН, или при наличие на правно основание чрез справка в системата ГРАО, или при желание посредством нарочно решение на КЗЛД.

Предвид горното, и на основание чл. 106, ал.1, т. 3, предложение трето от Закона за гражданската регистрация и чл. 58, ал. 3 от Общия регламент относно защитата на данните и чл. 10а, ал. 1 от Закона за защита на личните данни, предлагам КЗЛД да приеме следното

РЕШЕНИЕ:

  1. На основание чл. 106, ал. 1, т. 3 от Закона за гражданската регистрация, Комисията за защита на личните данни не дава разрешение за достъп от Министерство на регионалното развитие и благоустройството – Главна дирекция „ГРАО“ на „К.Б.“ АД, ЕИК *****, за предоставяне на данни за ЕГН на акционери на същото дружество, тъй като това дружество не е администраторът на лични данни, който има правомощия да ги актуализира в първичния относим за него документ – книга на акционерите. Правен интерес от получаване на тези данни би имал администраторът, поддържащ книгата на акционерите на дружеството, за целите на спазване на своите задължения по чл. 5, пар. 1, б. „г“ от Общия регламент – за привеждане на данните в точен вид и актуализирането им.
  2. Решението на Комисията за защита на личните данни може да се обжалва пред Административен съд – София град в 14 (четиринадесет) дневен срок от получаването му.

ПРЕДСЕДАТЕЛ:                            ЧЛЕНОВЕ:

Можете да споделите: