петък, 20 септември 2024   RSS
    Барометър | Региони | Компании | Лица | Назначения


    3845 прочитания

    КЗЛД: Доставчиците на платежни услуги са администратори на лични данни

    Надзорният орган се произнесе със становище по запитване, отправено от Столична община
    25 юни 2019, 15:10 a+ a- a

    Подобно на банките и пощенските оператори, доставчиците на платежни услуги, упражняващи своята дейност в условията на строга и изчерпателна нормативна регламентация, не биха могли да се разглеждат като обработващи, а като самостоятелни администратори на лични данни. Това се посочва в становище на Комисията за защита на личните данни по повод на запитване от Столична община.

    С цел улесняване плащането на дължими данъци и такси от страна на задължените лица по Закона за местните данъци и такси (ЗМДТ) между Столична община и търговски дружества се сключват договори с предмет „Приемане на суми по сметки на СО, предназначени за заплащане на данъци по ЗМДТ, такса битови отпадъци и такса притежаване на куче, както и задължения и лихви за минали години”. Изпълнители по договорите са банки, пощенски оператори и други дружества като „Изипей” АД, които предоставят платежни услуги по реда на Закона за платежните услуги и платежните системи (ЗПУПС).

    Визираните договори съдържат клауза, която определя изпълнителя като „обработващ лични данни” по смисъла на § 1, т. 3 от ДР на Закона за защита на личните данни (ЗЗЛД). Следва да се отбележи, че договорите са сключени при действието на предходната редакция на ЗЗЛД и преди КЗЛД да се произнесе със Становище (рег. № НДМСПО-01-873/10.08.2018 г.) относно качеството на банките при взаимоотношенията им с клиенти. За целите на привеждане на договорите в съответствие с изискванията на Регламент (ЕС) 2016/679, между СО и изпълнителите по договорите е разменена кореспонденция, като от страна на контрагентите е изразено категорично становище, че определянето им в договорите като „обработващи лични данни” не отразява правилно същността на процеса по предоставяне на услугата за заплащане на суми към бюджета на Столична община. С оглед спецификата на извършваната дейност, изразяват позиция, че са самостоятелни администратори на лични данни, като се позовават на аргументите, изложени в горепосоченото становище на КЗЛД. Нещо повече, излагат доводи, че предвид разликата между администратор и обработващ и с оглед обстоятелството, че вторият не действа самостоятелно, а от името на администратора и само по документирано негово нареждане, то дейностите по предмета на договорите при съобразяване с чл. 28 от Регламента биха били практически неизпълними.

    Предоставянето на платежни услуги на физически и юридически лица – предмет на визираните по-горе договори, е нормативна дейност, изчерпателно уредена в Закона за платежните услуги и платежните системи (ЗПУПС) и съответните подзаконови нормативни актове, която се осъществява от банки, дружества за електронни пари, платежни институции и др. въз основа на издаден лиценз и под надзора на Българска народна банка (БНБ). Тук следва да се отбележи, че едно от условията за издаване на лиценз е осигуряването на „правила за сигурност, които защитават ползвателите на платежни услуги срещу установените рискове, измамите или незаконното използване на чувствителни и лични данни” (арг. чл. 10, ал. 4, т. 6, б. „к” от ЗПУПС). В допълнение, разпоредбата на чл. 3, ал. 4 от ЗПУПС задължава доставчиците на платежни услуги и платежните системи да обработват лични данни на ползватели на платежни услуги при спазване на изискванията за защита на личните данни.

    Във връзка с гореизложеното, за Столична община е налице нормативна пречка за даване на указания на „Изипей” АД как да обработва личните данни, тъй като и двете страни по договора са задължени да спазват съответното специално законодателство, в т. ч. и относимите разпоредби, касаещи определянето на целите и средствата за обработване. Това е така и по отношение на специфичните задължения на доставчиците на платежни услуги, вменени им по силата на Закона за мерките срещу изпирането на пари, се посочва в мотивите на КЗЛД. На практика това означава, че Столична община и „Изипей” АД са ограничени при определянето на целите и средствата за обработване на личните данни, необходими за предоставяне на платежни услуги.

     

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 14 минути
    BlackPeak Capital инвестира 8 млн. евро в „Интелигентни системи за сигурност“
    Врачанският производител на електронни и електромеханични продукти има над 200 служители
    преди 1 час
    Банката на Англия остави лихвите непроменени
    Централната банка коригира прогнозата си за инфлацията в страната до края на годината
    преди 2 часа
    преди 18 часа
    Meta купува 3,9 млн. въглеродни кредита в Латинска Америка
    Компанията се стреми към нетни нулеви емисии по веригата на стойността през 2030 г.
    преди 19 часа
    Технологичният застрахователен брокер Cargofort придоби Claims Trans
    С обединението клиентите на логистичния пазар получават още по-оптимизирани и по-персонализирани услуги от един център
    преди 20 часа
    Intel може да получи $3,5 млрд. финансиране от САЩ
    Компанията отговаря на условията за безвъзмездно финансиране