Кои са основните 6 теми на запитвания от граждани, включени в отчета на КЗЛД?

Документът съдържа статистика и обобщена информация по различни въпроси, имащи отношение към обработването и защитата на личните данни по постъпили запитвания на граждани и предоставена информация и консултации по тях

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

  1. Съдебна практика по оспорвани решения на КЗЛД

През 2019 г. по оспорване на издадени от КЗЛД решения по жалби са образувани общо 90 първоинстанционни съдебни дела, от тях: в Административен съд – София-град – 72, в Административен съд – Бургас – 3, в Административен съд – Варна – 5; Административен съд – Пловдив – 2; Административен съд – Монтана – 2, Административен съд – Видин – 2, Административен съд – Враца – 1; Административен съд – Търговище – 1; Административен съд – Сливен – 1; Административен съд – Благоевград – 1. В сравнение през 2018 г. пред първа инстанция са образувани 44 дела.

През 2019 г. АССГ се е произнесъл с решения по 59 дела. С 45 съдебни решения са потвърдени оспорените административни актове на КЗЛД, с един съдебен акт решението на КЗЛД е частично отменено, отменени изцяло са 13 издадени от КЗЛД решения.

Като правилни и законосъобразни с решения на първа инстанция по дела, разглеждани извън АССГ, през 2019 г. са потвърдени още 13 постановени от КЗЛД решения. От тях: Административен съд – Бургас, е потвърдил и трите подсъдни му решения на КЗЛД; Административен съд – Варна, е потвърдил 3 решения на КЗЛД; Административен съд – Пловдив, е потвърдил 2 решения на КЗЛД; Административен съд – Монтана, е потвърдил и двете подсъдни му решения на КЗЛД; Административен съд – Видин, е потвърдил 1 решение на КЗЛД; Административен съд – Враца, е потвърдил 1 решение на КЗЛД. Потвърдено е и оспореното пред Административен съд – Търговище, решение на КЗЛД.

На графиката е изобразен броят на потвърдените и отменените решения на КЗЛД на първа инстанция (Фиг. 3):

 

Фиг. 3

През 2019 г. пред Върховния административен съд (ВАС) като касационна инстанция са образувани 32 дела.

През 2019 г. ВАС се е произнесъл с решения по 41 дела, като е потвърдил 26 решения на АССГ, с които е оставен в сила актът на КЗЛД. Отменил е 4 решения на АССГ

за неотмяна на решение на КЗЛД и е оставил в сила постановените от КЗЛД решения. Потвърдени са 6 решения на АССГ, с които са отменени съответните решения на КЗЛД.

На графиките са изобразени броят на потвърдените и отменените от решения на КЗЛД на втора инстанция (Фиг. 4):

Фиг. 4

  1. Статистика на наложените и събраните публични вземания, произтичащи от решения на КЗЛД

Размерът на наложените наказания от КЗЛД с постановените от нея за 2019 г. административни актове е в размер на над 1 000 000 лв. за установени 73 броя нарушения. Събраните през 2019 г. суми по постановени решения на КЗЛД са в размер на 211 929,07 лв., като от тях 32 679,07 лв. са събрани принудително от Национална агенция за приходите (НАП).

  1. Консултации на граждани

6.1. Статистика и обобщена информация по различни въпроси, имащи отношение към обработването и защитата на личните данни по постъпили запитвания на граждани и предоставена информация и консултации по тях

Въпросите, постъпили в КЗЛД през 2019 г., са много и разнообразни. С приемането и действието на Регламент (ЕС) 2016/679 се въвежда разширен кръг от права на физическите лица и се вменяват допълнителни задължения на администраторите на лични данни. В резултат на това обстоятелство гражданите, но и АЛД продължават (в съпоставка със статистиката от 2018 г.) активно да търсят съдействие и разяснение относно прилагането на новата правна рамка. За това говори и статистическият анализ на постъпилите запитвания в КЗЛД, а именно над 600 броя. По-долу са разгледани някои принципни въпроси или въпроси от обществен интерес, поставени на вниманието на Комисията през отчетния период.

6.1.1. Регистриране на администратори в КЗЛД

Въпреки изключително ясните, постоянни и непроменени указания на КЗЛД както на институционалната страница, така и на всички обучителни и разяснителни кампании не стихва тенденцията от запитвания за регистриране на АЛД в КЗЛД. Въпросите в тази посока продължават и след последно актуализирано съобщение от 25.11.2019 г. „Отпадане на задължението за регистрация на администраторите на лични данни в Комисията за защита на личните данни“.

Основно затруднение при разбирането на новите изисквания към АЛД/ОЛД буди обстоятелството, че липсата на регистрация не означава и липса на задължения спрямо тях. Прави впечатление продължаващото неотчитане на изискванията за спазване на принципите за законосъобразно обработване, и по-специално, за отчетност на АЛД/ОЛД, като се цели единствено формално „регистриране“ при надзорния орган.

6.1.2. Обработване на лични данни от финансови институции

През отчетния период пред КЗЛД са поставяни редица въпроси относно предоставянето на лични данни (лична карта), копирането им и последващото съхраняване от банкови и небанкови финансови институции. Основание за поредица от подобни въпроси са и измененията в ЗЗЛД – чл. 25г, съгласно който администратор на лични данни може да снема копие от документ за самоличност (или свидетелство за управление на МПС) само при наличие на законово основание за това. Наблюдава се запазване на тенденцията субектите на данни да не бъдат информирани, че банковите или небанковите финансови институции имат вменени задължения по реда на чл. 53, ал. 2 от Закона за мерките срещу изпирането на пари и разполагат със законово основание да копират документи за самоличност. Принципните отговори са, че съгласно разпоредбите на чл. 6, §1, буква „в“ от Регламент (ЕС) 2016/679 обработването на лични данни е законосъобразно, когато е необходимо за спазване на законово задължение, което се прилага спрямо администратора.

6.1.3. Обработване на лични данни в рамките на етажната собственост

В много случаи в КЗЛД постъпват запитвания по повод задълженията на управителите на етажна собственост. Често пъти тези запитвания са съпроводени от искане за регистриране като администратор в КЗЛД. Основни трудности за лицата, натоварени с управление на етажната собственост, будят основанията за обработване на личните данни на собствениците/обитателите на имоти и обема лични данни, които следва да бъдат обработвани в рамките на управлението на собствеността.

Отговорите от страна на КЗЛД възпроизвеждат съдържанието на ЗУЕС, който въвежда законово задължение за обработване на точно определен обем лични данни, включително на такива, подлежащи на подаване в съответната община, като се подчертава, че съгласието на живущите/собствениците не е коректното основание за обработване на личните им данни.

6.1.4. Обработване на лични данни от куриерски фирми

Поради многократни запитвания от страна на граждани между КЗЛД и различни куриерски фирми през отчетния период протича засилена кореспонденция. Лични данни (три имена и ЕГН) се изискват при подаване и получаване на пратки, включително в качеството на пълномощник на юридическо лице подател/получател, поради изменение в чл. 20, ал. 1 от Закона за пощенските услуги.

В допълнение към отговорите, които акцентират върху наличието на законово основание за обработване на този набор от лични данни, се подчертава, че действията по отношение предоставянето на куриерската фирма на име, ЕГН и номер на лична карта в тези случаи са аналогични с тези при получаване на наложен платеж. Те, а също така и сравняването от страна на куриера с личната карта на лицето представляват “Обработване на лични данни” от страна на администратора на лични данни (съответната куриерска фирма) в изпълнение на законово задължение.

6.1.5. Лични данни, обработвани от „Български пощи“

Както и при по-горе описаните позиции, многократно изразявана позиция по повод запитвания, свързани с обработването на данни от „Български пощи“ ЕАД, е, че последното има право и законово задължение да обработва лични данни. Съгласно разпоредбите обемът от лични данни, които са в състояние да идентифицират физически лица – издатели и получатели на счетоводен документ, за целите на счетоводната отчетност и данъчното облагане, са име, адрес и ЕГН. Следва да се има предвид, че пощенските оператори са задължени лица по смисъла на Закона за мерките срещу изпиране на пари и съгласно неговите разпоредби също следва да събират данни за индивидуализиране на подателите и получателите, вкл. ЕГН.

6.1.6. Длъжностно лице по защита на данните (ДЛЗД). Необходимост, изисквания

Установява се трайна тенденция за запитвания относно фигурата на т.нар. „Длъжностно лице по защита на данните“ – служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламент (ЕС) 2016/679 в организацията на администратора и повишаването на осведомеността и обучението на персонала. Налице е все още неразбиране на функциите и целта за определяне на такова длъжностно лице, като се запазва тенденцията на запитвания за наличието/липсата на задължение за определяне на такова лице, въпреки че запитващият е установил, че попада/не попада в задължените по смисъла на Регламента лица.

Отговорите стандартно посочват, че ДЛЗД може да бъде част от персонала, но може и да е външен субект, който изпълнява своите задължения въз основа на сключен граждански договор. Затова администраторите нямат задължение да назначават специално такъв служител, а само имат задължение да определят лице, което да изпълнява функциите на служител по защита на данните. Няма пречка служителят, определен за ДЗЛД, да изпълнява и други функции в рамките на организацията, но те не следва да водят до конфликт на интереси. Условията, при които се определя или назначава ДЗЛД, са изцяло в преценката на АЛД.

Позицията на КЗЛД остава, че решението дали ще бъде назначено ДЛЗД се взема от АЛД след преценка на неговата дейност и обработваните лични данни на физически лица. При вземането на това решение следва да се отчитат условията, разписани в чл. 37 от Регламент (ЕС) 2016/679. По принцип е желателно да се извърши преценка относно обема на данните, техния характер, съответно риска за лицата при настъпили нарушения в сигурността на данните, средствата, с които ще се събират и обработват, и поставените цели. ДЛЗД може да бъде назначено на трудов или граждански договор, да е служител от администрацията (без да е в конфликт на интереси) или да е външен експерт. Също така може да се назначи едно ДЛЗД за няколко АЛД, стига дейността им да е в една и съща сфера. Изчерпателна информация относно длъжностното лице по защита на данните може да бъде намерена на сайта на КЗЛД.

 6.2. Сравнителен анализ на постъпилите запитвания от граждани според предмета на запитванията

Въпросите са многобройни и различни по своето естество, като преобладаващи са тези, в които се съобщава за твърдяна злоупотреба с лични данни в социалните мрежи, фирми за бързо кредитиране и държавни институции. Прави впечатление, че немалка част от тях насочват към непознаване на правните основания за обработване на данни и на правата на субектите на данни, които в нередки случаи приемат отказа на институции или правно задължени администратори на данни да изтрият данните им като злоупотреба с тях.

Остава постоянна тенденцията към увеличаване на сигнали за твърдени нарушения при неправомерно използване на лични данни от страна на мобилни оператори и фирми за бързо кредитиране и предоставяне на лични данни на т.нар. колекторски фирми, както и злоупотреба с лични данни на служители, които са с прекратени трудови правоотношения, от страна на работодатели.

Чести са въпросите, свързани със сертифициране на администратори, с издаване на сертификат ISO 27001:2013, кой е органът по сертифициране в Република България, какви са нормативните изисквания, които администраторите трябва да покрият, за да получат сертификат. Много от сигналите на гражданите продължават да бъдат свързани с поставяне на видеокамери в жилищните сгради без съгласието на живущите в тях съгласно ЗУЕС, както и неправилното им насочване за следене на обекти и пространства извън тяхното предназначение.

През 2019 г. продължават да постъпват също жалби и въпроси, които не са от компетентността на КЗЛД, като например свързани с шенгенската виза и с данъчни задължения на български граждани, живеещи в чужбина, които се пренасочват към съответните държавни институции по компетентност.

 

 

Можете да споделите: