В Комисията за защита на личните данни (КЗЛД ) е постъпило искане от банка, с което банката поставя въпроси, касаещи обработването на лични данни при изпълнение на разпоредбите на Закона за мерките срещу финансирането на тероризма (ЗМФТ), а именно:
- „Може ли задължените лица по Закона за мерките срещу финансиране на тероризма да обработват лични данни на свои служители, респ. кандидати за работа на основание спазване на законовите си задължения по смисъла на чл. 6, § 1, б. „в“ от Общия регламент за защита на данните?“
- „Ако отговорът е отрицателен то има ли друго правно основание по смисъла на чл. 6 от Общия регламент за защита на данните, въз основа на което задължените лица по Закона за мерките срещу финансиране на тероризма да обработват лични данни на свои служители, респ. кандидати за работа – например легитимен интерес?“
След анализ на законовата уредба от КЛЗД заключили, че в конкретния случай, доколкото правоотношенията между работодателя, имащ качеството на задължено лице по ЗМФТ и служителите му, попадат в обхвата на закона, за работодателя би възникнало законово задължение, което от своя страна е основание за законосъобразност на обработването на лични данни по смисъла на чл. 6, § 1, б. „в“ от Регламент (ЕС) 2016/679. Това обработване обаче, следва да отговаря на изискванията на ЗМФТ, т.е. физическите лица – служители на банката да попадат в една от описаните в чл. 4б от същия закон групи и банката да предприема спрямо тях мерките посочени в чл. 3 от него (да борави с финансовите средства и/или да предоставя финансови услуги на своите служители).
С оглед на гореизложеното и предвид високата степен на значимост на обществените отношения, регламентирани на законово ниво чрез специалния ЗМФТ, е налице обоснован извод, че обработването на лични данни за целите на изпълнението на закона на базата на легитимен интерес на администратора, би било незаконосъобразно.
От комисията са допълнили, че правоотношението с кандидатите за работа не попада в материалния обхват на ЗМФТ, следователно обработването на техни лични данни за визираните в закона цели би било незаконосъобразно.
Ние смятаме, че визираното от КЛЗД основание за обработка на лични данни – законово задължение по смисъла на чл. 6, § 1, б. „в“ от Регламент (ЕС) е приложими при всяка обработка на лични данни от администратор, които е задължено лице по смисъла на ЗМФТ.
Пълния текст на становището можете да намерите в бюлетина за месец май 2020г. на Комисията за защита на личните данни на следния адрес: https://www.cpdp.bg/index.php?p=rubric&aid=15