КЗЛД: Доставчиците на платежни услуги са администратори на лични данни

Подобно на банките и пощенските оператори, доставчиците на платежни услуги, упражняващи своята дейност в условията на строга и изчерпателна нормативна регламентация, не биха могли да се разглеждат като обработващи, а като самостоятелни администратори на лични данни. Това се посочва в становище на Комисията за защита на личните данни по повод на запитване от Столична община.

С цел улесняване плащането на дължими данъци и такси от страна на задължените лица по Закона за местните данъци и такси (ЗМДТ) между Столична община и търговски дружества се сключват договори с предмет „Приемане на суми по сметки на СО, предназначени за заплащане на данъци по ЗМДТ, такса битови отпадъци и такса притежаване на куче, както и задължения и лихви за минали години”. Изпълнители по договорите са банки, пощенски оператори и други дружества като „Изипей” АД, които предоставят платежни услуги по реда на Закона за платежните услуги и платежните системи (ЗПУПС).

Визираните договори съдържат клауза, която определя изпълнителя като „обработващ лични данни” по смисъла на § 1, т. 3 от ДР на Закона за защита на личните данни (ЗЗЛД). Следва да се отбележи, че договорите са сключени при действието на предходната редакция на ЗЗЛД и преди КЗЛД да се произнесе със Становище (рег. № НДМСПО-01-873/10.08.2018 г.) относно качеството на банките при взаимоотношенията им с клиенти. За целите на привеждане на договорите в съответствие с изискванията на Регламент (ЕС) 2016/679, между СО и изпълнителите по договорите е разменена кореспонденция, като от страна на контрагентите е изразено категорично становище, че определянето им в договорите като „обработващи лични данни” не отразява правилно същността на процеса по предоставяне на услугата за заплащане на суми към бюджета на Столична община. С оглед спецификата на извършваната дейност, изразяват позиция, че са самостоятелни администратори на лични данни, като се позовават на аргументите, изложени в горепосоченото становище на КЗЛД. Нещо повече, излагат доводи, че предвид разликата между администратор и обработващ и с оглед обстоятелството, че вторият не действа самостоятелно, а от името на администратора и само по документирано негово нареждане, то дейностите по предмета на договорите при съобразяване с чл. 28 от Регламента биха били практически неизпълними.

Предоставянето на платежни услуги на физически и юридически лица – предмет на визираните по-горе договори, е нормативна дейност, изчерпателно уредена в Закона за платежните услуги и платежните системи (ЗПУПС) и съответните подзаконови нормативни актове, която се осъществява от банки, дружества за електронни пари, платежни институции и др. въз основа на издаден лиценз и под надзора на Българска народна банка (БНБ). Тук следва да се отбележи, че едно от условията за издаване на лиценз е осигуряването на „правила за сигурност, които защитават ползвателите на платежни услуги срещу установените рискове, измамите или незаконното използване на чувствителни и лични данни” (арг. чл. 10, ал. 4, т. 6, б. „к” от ЗПУПС). В допълнение, разпоредбата на чл. 3, ал. 4 от ЗПУПС задължава доставчиците на платежни услуги и платежните системи да обработват лични данни на ползватели на платежни услуги при спазване на изискванията за защита на личните данни.

Във връзка с гореизложеното, за Столична община е налице нормативна пречка за даване на указания на „Изипей” АД как да обработва личните данни, тъй като и двете страни по договора са задължени да спазват съответното специално законодателство, в т. ч. и относимите разпоредби, касаещи определянето на целите и средствата за обработване. Това е така и по отношение на специфичните задължения на доставчиците на платежни услуги, вменени им по силата на Закона за мерките срещу изпирането на пари, се посочва в мотивите на КЗЛД. На практика това означава, че Столична община и „Изипей” АД са ограничени при определянето на целите и средствата за обработване на личните данни, необходими за предоставяне на платежни услуги.