Какво да правим, когато Законът за мерките срещу изпирането на пари се сблъска с GDPR
Деница Люнчева
Адвокат Деница Люнчева е член на Софийската адвокатска колегия, основател и почетен председател на Асоциация за защита на личните данни. Повече от 12 години е работила в дирекция „Правно-нормативна дейност“ на МВР, където е била главен юрисконсулт.
Новият Закон за мерките срещу изпирането на пари (ЗМИП, обн. ДВ, бр. 27/27.03.2019 г.), който транспонира Директива (ЕС) 2015/849 на Европейския парламент и на Съвета от 20 май 2015 г. за предотвратяване използването на финансовата система за целите на изпирането на пари и финансирането на тероризма, предизвика бурни дебати сред представителите на бизнеса, неправителствения сектор, професионалните съсловни организации и публичните органи. В резултат на това бяха приети няколко негови изменения и допълнения в рамките на малко повече от година след влизането му в сила.
На фона на широко обсъжданите в практиката въпроси кой, кога и как трябва да подаде декларация за действителен собственик, какво да бъде съдържанието на вътрешните правила за мерките срещу изпирането на пари и финансирането на тероризма, как да се извърши оценката на риска по ЗМИП, кой трябва да изготви и изпрати в ДАНС планове за обучение и т.н., друг важен въпрос не намери достатъчно отзвук, а именно – как прилагането на мерките по ЗМИП ще се отрази върху защитата на личните данни и правото на неприкосновеност на личността и съществува ли реална опасност, в стремежа си да изпълнят изискванията на ЗМИП, задължените субекти по чл. 4 от този закон да влязат в противоречие с разпоредбите на друг изключително значим нормативен акт – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните, GDPR). Около този регламент също се вдигна много шум, най-вече заради безпрецедентните размери на предвидените в него глоби, по-строгите изисквания спрямо администраторите и обработващите лични данни, разширяването на правата на субектите на данни и въвеждането на принципа за отчетност, задължаващ администраторите да документират едва ли не всяко свое решение и действие, свързано с обработването и защитата на личните данни.
Както тогава, така и сега задължените субекти възприеха изискванията на новото законодателство като поредната административна тежест върху своята дейност и започнаха да търсят оптимални решения, които да им помогнат с малко усилия да постигнат по-добро ниво на съответствие със закона. Неспазването на който и да е от тези два акта може да доведе не само до сериозни финансови последици (при налагане на глоби или имуществени санкции и изплащане на обезщетения за вреди), но и до накърняване на репутацията и загуба на бизнеса. От една страна, ЗМИП изисква събирането и обработването на голям обем от лични данни, с цел предотвратяване на експлоатацията на сектора на финансовите услуги като средство за изпиране на пари и финансиране на тероризъм. От друга страна, GDPR поставя ограничения за това как, кога, от кого, по какъв начин и защо личните данни могат да бъдат събирани и обработвани и разширява дефиницията за лични данни, като обединява цялата информация, събирана съгласно ЗМИП, в рамките на своята юрисдикция. Така въпросът как да бъдат съвместени тези два акта в процеса на тяхното прилагане е изключително важен.
Вероятно осъзнавайки това, с преходните и заключителните разпоредби на Закона за изменение и допълнение на Закона за защита на личните данни (обн. ДВ, бр. 17/26.02.2019 г.) нашият законодател измени и допълни ЗМИП, като в §4а от допълнителните му разпоредби записа, че този закон предвижда мерки за прилагане на GDPR. В чл.83, ал.1 от ЗМИП изрично разпореди, че по отношение на обработването на лични данни за целите на превенцията на изпирането на пари и финансирането на тероризма се прилагат GDPR и ЗЗЛД, доколкото в този закон и в Закона за мерките срещу финансирането на тероризма не е предвидено друго, а в чл.83, ал.2 от ЗМИП определи, че обработването на лични данни за целите на превенцията на изпирането на пари и финансирането на тероризма се смята за въпрос от обществен интерес съгласно GDPR и не може да бъде ограничено от изискванията на чл. 12 – 22 и чл.34 от същия регламент. Последното е в съответствие и с чл.23 от GDPR, който дава възможност на държавите-членки на Европейския съюз да ограничат чрез законодателна мярка обхвата на правата и задълженията по чл.12 – 22 и чл.34 от регламента (правата на субектите на данни и свързаните с това задължения за администраторите на лични данни, включително задължението за съобщаване на засегнатите субекти на данни за нарушение на сигурността на личните им данни), когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество като гаранция в точно определени случаи, изброени подробно в параграф 1 на чл. 23 и съображение 73 от GDPR.
“Необходимост” и “пропорционалност” са две понятия, които и Европейският надзорен орган за защита на данните (ЕНОЗД) коментира задълбочено в контекста на мерките срещу изпирането на пари и финансирането на тероризма и защитата на личните данни в свое становище по проблема, отправено до Европейската комисия във връзка с предложение на Комисията за изменение на Директива (ЕС) 2015/849, транспонирана в ЗМИП. (Резюме на становището на български език, както и пълният му текст на английски, френски и немски език, може да бъдат намерени на сайта на ЕНОЗД – http://www.edps.europa.eu/). Като изразява своето притеснение, че личните данни, събирани за целите на предотвратяване на изпирането на пари и финансирането на тероризма, може да бъдат използвани за други цели, различни от посочените, които сякаш не са ясно определени, ЕНОЗД препоръчва:
- да се гарантира, че всеки акт на обработване на лични данни обслужва законна, конкретна и добре определена цел и е обвързан с тази цел по необходимост и пропорционалност; администраторът на лични данни следва да е определен и да носи отговорност за спазването на правилата за защита на данните;
- да се гарантира, че всяко ограничаване на упражняването на основните права на неприкосновеност на личния живот и на защита на данните е регламентирано по закон при съблюдаване на същността на тези права и на принципа на пропорционалност, като се привежда в сила, само ако необходимо за постигането на целите от общ интерес, признати от Съюза, или при нужда да се защитят правата и свободите на други лица;
- да се гарантира надлежна оценка на пропорционалност на мерките на политиката, предложени във връзка с преследваните цели, тъй като мерките за извънредни случаи, които са приемливи за овладяването на риска от терористични нападения, може да се окажат прекомерни, когато се прилагат за предотвратяване на риска от укриване на данъци;
- да се запазят гаранциите, които биха осигурили определена степен на пропорционалност (например при определянето на условията за достъп до информация относно финансови операции от страна на звената за финансово разузнаване);
- да бъде създаден достъп до информация за действителния собственик в съответствие с принципа на пропорционалност, като inter alia, гарантиращ достъп само на лица, които отговарят за прилагането на закона.
И така, като отчита сериозността и дълбочината на въпросите, които възникват при съвместното прилагане на GDPR, ЗМИП и ЗЗЛД, без да претендира за изчерпателност, настоящата публикация се стреми да очертае някои от областите, на които е препоръчително задължените субекти по чл.4 от ЗМИП да обърнат внимание, за да не допускат нарушения на правилата за защита на личните данни, докато се опитват да спазят задълженията си по ЗМИП.
ЗМИП изисква събирането, обработването и използването на лични данни за изпълнение на няколко основни задачи в процеса на противодействие на използването на финансовата система за целите на изпирането на пари, които могат да бъдат обобщени по следния начин:
- комплексна проверка на клиента (включително разширена и опростена проверка);
- мониторинг на транзакции и на поведение;
- вътрешно споделяне на данни (включително в рамките на група);
- споделяне на данни извън организацията (включително с външни изпълнители, регулаторни органи и други финансови институции);
- трансгранично обработване на данни (особено при обработването на международни плащания).
В ЗМИП и правилника за неговото прилагане са определени физическите лица, чиито лични данни се събират и обработват за постигане на целите му; кой какви лични данни събира и обработва, за какви цели и по какъв начин; кога и как ги актуализира; с кого ги споделя и при какви условия; за какъв период от време ги съхранява; какви ограничения на правата на субектите на данни се прилагат.
Както беше споменато, чл.83, ал.1 от ЗМИП препраща изрично към GDPR и ЗЗЛД във връзка със защитата на физическите лица при обработване на личните им данни за целите на превенцията на изпирането на пари и финансирането на тероризма. Това означава, че обработването на лични данни от задължените субекти по чл.4 от ЗМИП трябва да е съобразено, на първо място, с принципите, установени в чл.5 от GDPR, и наред с това с всички останали негови разпоредби.
Според чл.5 от GDPR личните данни следва да са:
- обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
- събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);
- подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
- точни и при необходимост да бъдат поддържани в актуален вид, като се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
- съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в този регламент, с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
- обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки („цялостност и поверителност“).
Седмият принцип, свързан със защитата на личните данни, по чл. 5 от GDPR – принципът на отчетност, задължава администраторите на лични данни да документират и да са в състояние да доказват във всеки един момент спазването на останалите шест принципа и на изискванията на регламента.
Някои от основните предизвикателства, пред които могат да се изправят задължените лица по чл.4 от ЗМИП, при постигането на съответствие с GDPR в процеса на прилагане на ЗМИП, са:
- Документиране на правното основание за обработване на лични данни
Това може да се случи чрез допълване на Политиката за защита на личните данни, във Вътрешните правила за контрол и предотвратяване на изпирането на пари, чрез описание на дейностите по обработване на лични данни по ЗМИП в Регистъра на дейностите по обработване на лични данни по чл.30 от GDPR или по друг удобен за съответната компания или организация начин. Предизвикателството тук се състои в това, че например, редица ключови похвати, които са в основата на обработването на лични данни в областта на прилагането на мерки срещу изпирането на пари, като например рискови рейтинги, показатели за риска, „червени знамена” и т. н., не произтичат строго от законови задължения. Затова в определени случаи задължените лица по чл.4 от ЗМИП трябва да потърсят друго основание за събиране на личните данни, като например легитимен интерес или съгласие на субекта на данни и това трябва да се документира в съответствие с GDPR. Тъй като събраните данни по ЗМИП трябва да бъдат пропорционални на нивото на риск на клиента и неговите дейности, задължените лица по чл.4 от ЗМИП може да се наложи да преразгледат и практиките и основанията, които използват, за да събират данни за нискорискови и за високорискови клиенти.
- Изпълнение на изискването за свеждане на данните до минимум
Макар да очертава отделните лични данни, които трябва да бъдат събирани за целите на предовратяването на изпирането на пари и финансирането на тероризма, ЗМИП дава възможност на задължените лица по чл.4 от него да събират и допълнителни данни, когато това се налага с оглед резултатите от оценката на риска, извършена по ЗМИП. За всеки отделен подобен случай е необходимо да се извършва внимателна преценка доколко данните в повече са подходящи, свързани с и необходими за изпълнението на целите, за които се събират.
- Коригиране на неточни и попълване на непълни данни
Използването на актуална, точна и пълна информация с влизането в действие на GDPR стана все по-важно. Исторически погледнато, задължените лица не винаги са били в състояние да поддържат своите клиентски досиета актуални. Сега това трябва да се разглежда не само като задължение по чл.16 от ЗМИП, но и като едно от основните изисквания на GDPR, особено когато се разчита на данните, за да се вземат решения, които влияят на възможността клиентите да получат достъп до определени услуги, например банкови или финансови. Освен това, когато се извършват онлайн или други търсения в бази данни, за да се оцени профилът на клиента по ЗМИП от гледна точка на риска за изпиране на пари или финансиране на тероризъм, задължените лица ще трябва да използват надеждни източници на данни, което поставя допълнителна тежест върху тях във връзка с установяването на надеждността на използваната информация.
- Известие/Декларация за поверителност
Предвид факта, че съгласно GDPR субектите на данни имат право да бъдат информирани за обработването на личните им данни, е препоръчително задължените субекти по чл.4 от ЗМИП да ревизират своите известия/декларации за поверителност, приети по GDPR, за да предоставят на клиентите си и действителните им собственици информацията по чл. 13 – чл. 14 от GDPR в контекста на обработването на лични данни по ЗМИП.
- Ограничения при упражняването на правата на субектите на данни
Доколкото такива са уредени в ЗМИП, при постъпване на искане от субект на данни за упражняване на което и да е от правата му по чл.12 – чл.22 от GDPR, задължените лица по чл.4 от ЗМИП – администратори на лични данни, трябва да извършват внимателна преценка по всяко искане относно неговата допустимост и основателност и относно наличието на предпоставки или пречки за уважаване на това искане.
- Ограничение на съхранението
Някои от сроковете за съхранение на лични данни, установени в ЗМИП, са определени по такъв начин, че задължените лица може да се окажат в ситуация, в която съхраняват лични данни за своите клиенти и/или действителните собственици на клиентите си дълго, след като бизнес отношенията, породили обработването, са приключили. Съгласно GDPR данните не може да бъдат съхранявани по-дълго от необходимото за целите, за които се обработват. Така че задължените лица по чл.4 от ЗМИП трябва да съобразят това и да следят за точното определяне на началния и крайния момент на срока за съхранение на събраните от тях данни по ЗМИП, след което да предприемат действия по тяхното унищожаване, ако не съществува друга причина по закон за удължаване на срока за съхранение.
- Сигурност на личните данни
Сигурността на личните данни е неразделна част от изпълнението на изискванията на GDPR и е препоръчително задължените лица по ЗМИП да преразгледат организационните и техническите мерки за защита на данните, които са въвели по GDPR, като оценят тяхната адекватност и ефективност и спрямо данните, обработвани по ЗМИП. Например, могат да ревизират достъпа на служителите си до данните на клиенти и/или действителни собственици на клиенти и данните от наблюдението на транзакции, събрани по ЗМИП, и прилагайки принципа “необходимост да се знае”, да преценят кои служители наистина имат нужда от достъп до тези данни за изпълнение на своите длъжностни задължения. Могат също да проведат тестове за уязвимост на системите за обработване и съхранение на лични данни.
- Аутсорсване на дейности и предаване на данни на трети лица
Компаниите/организациите в наши дни възлагат все по-широк кръг от дейности на подизпълнители и доставчици на услуги, които много често се явяват обработващи за тях лични данни. Член 28 от GDPR задължава администраторите на лични данни да използват само обработващи, които предоставят достатъчно гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни и спазване на изискванията на Регламента, като е предвидено отношенията с обработващия лични данни да се уреждат с договор с нормативно определеното в GDPR съдържание. Препоръчително е задължените лица по чл.4 от ЗМИП, които ползват външни лица за изпълнение на дейности по събиране и обработване на лични данни по ЗМИП, да извършват предварителна оценка на способността на тези лица да посрещнат изискванията не само на ЗМИП, но и на GDPR. Също така могат да включат в договорите си с тях клаузи относно извършването на независим одит за съответствието върху тяхната дейност.
- Трансфер на лични данни в страни извън ЕС
Ако се осъществява такъв в процеса на събиране, обработване и разкриване на лични данни за целите на ЗМИП, то той трябва да бъде съобразен с изискванията на глава V от GDPR.
- Оценка на въздействието върху защитата на личните данни
Предпоставките за извършване на такава оценка са очертани в чл.35 от GDPR. Без да е задължителна за всички лица по чл.4 от ЗМИП или за всички операции по обработване на лични данни по този закон, тя може да им послужи като много добър инструмент, чрез който да си гарантират, че обработваните лични данни се ограничават до това, което се изисква от закона, използваните технологии и методи за обработване на данни са достатъчно сигурни и рискът за правата и свободите на субектите на данни е минимизиран. Това би добавило допълнителна стойност в процеса на постигане на съответствие със закона.
- Защита на данните на етапа на проектиране
С развитието на бизнеса и технологиите е възможно задължените лица по чл.4 от ЗМИП да започнат да обработват нови типове данни или да използват нови технологии в превенцията на изпирането на пари. Ако досега са събирали копия на лични карти, при все по-нарастващото предоставяне на услуги от разстояние, те може да събират в бъдеще гласови шаблони или биометрични данни на клиента. В съответствие с чл.25 от GDPR при стартирането на проект за използване на нови данни и технологии, изискванията на GDPR трябва да бъдат съобразени още от самото начало, на етапа на неговото планиране.
В заключение, постигането на синхрон при прилагането на ЗМИП и GDPR е напълно постижимо, макар да изисква известни усилия от страна на задължените лица по чл.4 от ЗМИП и целенасочено повишаване на нивото им на информираност по този въпрос. В този процес те могат да преразгледат областите, в които двете регулации се припокриват и допълват, да ревизират и документират правното основание за събиране и обработване на лични данни, да направят промени във вътрешните си документи, ако е необходимо, и да си отговорят до каква степен са се справили с предизвикателствата, посочени по-горе, за да си осигурят по-високо ниво на съответствие със закона.
Настоящото изложение не претендира за изчерпателност, изготвено е с информативна цел и не представлява индивидуален правен съвет.
11
Коментирайте
Ако игнорираме всичко друго, безумен е фактът, че постоянните адреси на голямо количество физически лица (действителни собственици и лица за контакт), редом с имената им, се изтипосват публично в Търговския регистър! За какви лични данни си говорим????
Според мен е абсолютно ЗАДЪЛЖИТЕЛНО ТР и ДАНС да преразгледат тази политика, нали уж смисълът на ЗМИП е държавните органи да имат лесен достъп до информация, а не такъв достъп да се предоставя на всяко трето лице?
Както и датите на раждане. Пълно безумие.
Най-после някой да обърне внимание и на този проблем!
Пълни глупости! Кой ще плаща събирането на гласови шаблони и биометрични данни на клиента. Съсипват малкият бизнес. Това е.
Ясно е като бял ден, че GDPR няма да се промени. Тоест ние трябва да съобразим нормативната си уредба с него.
Най вече събирането на данни трябва да се сведе до минимум.
Проблемът с GDPR е, че се възприема като много шум за нищо и като една кампания, целяща да създаде само главоболия на фирмите и институциите. На никой не му пука за гражданите и защитата на данните. Настоящият пример е красноречив.
Проблемът е и в т.нар. субекти на лични данни, които си мислят, че няма смисъл да си ги пазят или някой да им спазва правата, понеже така или иначе всеки им бил знаел ЕГН-то. И резултатът са имотни измами, кражби, използване на глупави интернет потребители в хибридни войни, маркетингови кампании и какво ли още не.
Като започнат да налагат глоби ще видиш дали на никой не му пука… Още повече, че Юрова В заяви, че, а почва проверка на националните регулаторни как прилагат GDPR
Много добър текст, който за пореден път показва, че когато се правят промени в законите, те не се съобразяват с други нормативни актове, да не говорим за оценка на въздействието им и т.н.
Всички лични данни, които са качвани някъде някога в интернет, са каширани и всеки с елементарни познания може да ги извади наяве за нула време. Никоя информация, която веднъж е качена там, не може да остане тайна. Да не говорим, че цялата концепция на ЕГН вече е остаряла и нефункционална. А като вземем предвид и нарушенията, които нотариусите користно извършват с прехвърляне на имоти например, за какъв GDPR говорим изобщо?