В Комисията за защита на личните данни (КЗЛД ) е постъпило искане от адвокатско дружество, с което а поставят въпроси, касаещи обработването на лични данни при изпълнение на разпоредбите на Закона за мерките срещу изпирането на пари (ЗМИП), а именно:
- „Действат ли представителите на доставчици на платежни услуги по ЗПУПС като администратори, когато обработват лични данни в изпълнение задължение, възникващо на самостоятелно законово основание за тях?“
- „Във връзка с въпрос 1, считате ли, че при изпълнение на задълженията си по чл. 3, т. 1–6 от ЗМИП представителите на доставчици на платежни услуги по ЗПУПС действат като администратори или само като обработващи лични данни?“
Във връзка с поставените въпроси Комисията е отговорила по следния начин:
Със Закона за мерките срещу изпирането на пари (ЗМИП) се определят мерките за превенция на използването на финансовата система за целите на изпирането на пари, както и организацията и контролът по тяхното изпълнение. Разпоредбата на чл. 4 от закона определя изчерпателно кръга на задължените субекти, сред които попадат и „другите доставчици на платежни услуги по смисъла на Закона за платежните услуги и платежните системи и техните представители“ (арг. чл. 4, т. 2 ЗМИП). Въпреки че КЗЛД не е компетентна да се произнася по прилагането на специални закони (контролът по прилагането на ЗМИП се упражнява от председателя на Държавна агенция „Национална сигурност“), систематичното и граматическо тълкуване налага извода, че законодателят е посочил представителите на платежните институции като самостоятелно задължени субекти. От друга страна, Законът за платежните услуги и платежните системи (ЗПУПС) урежда изискванията към дейността на доставчиците на платежни услуги, както и видовете предоставяни платежни услуги. Разпоредбата на чл. 28 и сл. от ЗПУПС регламентират дейността на „представителите“ на платежните институции, като законът посочва, че платежните институции, лицензирани от БНБ може да осъществяват дейността, за която са лицензирани, пряко или чрез представител, на територията на Република България. От своя страна, представителят може да е търговец, който извършва от името на лицензирана от БНБ платежна институция дейност по предоставяне на платежни услуги (арг. чл. 28, ал. 2 ЗПУПС). В допълнение, чл. 30 от закона определя и рамките на отговорността на платежната институция, според която същата носи отговорност за действията на своите служители, клонове, представители или подизпълнители. От изложеното дотук е ясно, че представителите на платежните институции могат да извършват съответните платежни услуги от тяхно име, като упражняването на дейността им е обусловено и от обработването на лични данни (от тяхно име), което е ключовият признак за наличието на качеството на „обработващ лични данни“ по смисъла на ОРЗД. Визираните аргументи налагат извода, че представителите на платежните институции, извършват дейности по обработване на лични, както за различни цели, дефинирани в ЗМИП и ЗПУПС, така и на различни правни основания. Следва да се отбележи, че наличието на правното качество на обработващ не изключва възможността за същия да извършва операции по обработване на лични данни и в ролята на администратор. Нещо повече, диференцирането на двете функции трябва да намери своето отражение и в съответните политики и процедури при обработване на личните данни.
Във връзка с горепосоченото и на основание чл. 58, § 3, б. „б“ от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
- Предвид факта, че представителят на доставчик на платежни услуги по смисъла на Закона за платежните услуги и платежните системи (ЗПУПС) извършва съответната дейност, вменена му по този закон от името на доставчика на услугите, следва да се направи обоснован извод, че за същия са налице условията за обработване на лични данни в качеството на обработващ по смисъла на чл. 4, т. 8 вр. чл. 28 от Регламент (ЕС) 2016/679.
- В качеството си на самостоятелно задължен субект по чл. 4 от Закона за мерките срещу изпирането на пари (ЗМИП) представителят на доставчик на платежни услуги, извършва дейностите по обработване на лични данни в рамките на ЗМИП в ролята си на администратор, на основание чл. 6, § 1, б. „в“ от Регламент (ЕС) 2016/679.
Пълния текст на становището можете да намерите в бюлетина за месец май 2020г. на Комисията за защита на личните данни.
https://www.cpdp.bg/index.php?p=rubric&aid=15